O arranque da competição Pwn2Own Automotive 2026, que decorre em Tóquio, no Japão, durante a conferência Automotive World, ficou marcado pela descoberta de dezenas de falhas de segurança em sistemas críticos de veículos e infraestruturas. No primeiro dia do evento, vários investigadores de segurança conseguiram piratear o sistema de infoentretenimento da Tesla, arrecadando um total de 516.500 dólares após a exploração de 37 vulnerabilidades do tipo zero-day.
Tesla e sistemas multimédia na mira dos hackers
Uma das equipas em destaque foi a Synacktiv Team, que levou para casa 35.000 dólares. Os investigadores conseguiram obter permissões de administrador (root) no sistema da Tesla através de um ataque via USB, combinando uma fuga de informação com uma falha de escrita fora de limites. A mesma equipa não se ficou por aqui e conseguiu também a execução de código ao nível de root no recetor multimédia digital Sony XAV-9500ES, garantindo um prémio adicional de 20.000 dólares.
Outras equipas demonstraram a fragilidade de dispositivos populares. A Fuzzware.io acumulou 118.000 dólares ao comprometer uma estação de carregamento Alpitronic HYC50, um carregador da Autel e um recetor de navegação da Kenwood. Já a equipa PetoWorks recebeu 50.000 dólares por ganhar privilégios de root num controlador de carregamento Phoenix Contact CHARX SEC-3150, utilizando para o efeito três falhas zero-day.
Vulnerabilidades em carregadores domésticos e o futuro da competição
A segurança dos carregadores domésticos também foi posta à prova. A equipa DDOS faturou 72.500 dólares ao piratear o ChargePoint Home Flex, o Autel MaxiCharger e a estação Grizzl-E Smart 40A. Para o segundo dia da competição, espera-se uma pressão ainda maior sobre estes dispositivos, com várias equipas a tentar novas invasões em busca de prémios que podem chegar aos 50.000 dólares por cada tentativa bem-sucedida.
Este concurso, que decorre entre 21 e 23 de janeiro, foca-se exclusivamente em tecnologias automóveis, visando sistemas de infoentretenimento, carregadores e sistemas operativos como o Automotive Grade Linux. De acordo com as regras estabelecidas pela Zero Day Initiative da Trend Micro, os fabricantes têm agora um prazo de 90 dias para desenvolver e lançar as respetivas correções de segurança antes que os detalhes técnicos das falhas sejam tornados públicos.
O evento continua a mostrar um crescimento no interesse dos investigadores, servindo como um barómetro crucial para a cibersegurança no setor automóvel. No ano passado, a edição de 2025 terminou com a exploração de 49 vulnerabilidades e um total de 886.250 dólares em prémios, conforme os dados partilhados na página oficial da Automotive World.
Nenhum comentário
Seja o primeiro!