Der zweite Tag des Pwn2Own Automotive 2026 Wettbewerbs hinterließ eine beeindruckende Abrechnung für die Bugjäger: $439,250 in Preisen nach der Ausbeutung 29 verschiedene Null-Tage-Schwachstellen. Der Wettbewerb vom 21. bis 23. Januar in Tokio im Rahmen der Konferenz Automobilindustrie, re-fokus auf die Sicherheit der Systeme, die heute bewegen und laden die Elektroautos und ihre Multimedia-Zentren.
In Pwn2Own Das Fahrzeug ist mit vollgeparkten Geräten konfrontiert: Elektrofahrzeugladestationen, Informations- und Unterhaltungssysteme (IVI) und Automotive-Betriebssysteme wie Automotive Grade Linux. Ziel ist es nicht nur, Geldpreise zu gewinnen, sondern die Identifizierung und Korrektur von Fehlern zu zwingen, die in der realen Welt zu Risiken für die Privatsphäre oder sogar körperliche Sicherheit von Fahrern und Passagieren führen könnten. Die Organisation stellt die Aufzeichnung der Ergebnisse und technischen Details zur Verfügung; die Zusammenfassung des zweiten Tages ist auf der Initiative Blog Zero Day Initiative (ZDI) wo auch die Dynamik und Kriterien des Wettbewerbs erläutert werden.
Nach den ersten zwei Tagen, Fuzzware. io führt die Klassifizierung mit 213,000 Dollar akkumuliert, von denen ein Teil von erfolgreichen Angriffen auf Controller und Frachtstationen wie die Phoenix Contact CHARX SEC-3150, die ChargePoint Home Flex und die Grizzl-E Smart 40A kam. Andere Teams haben für die Vielfalt der Ziele und die Komplexität ihrer operativen Ketten hervorgehoben: Sina Kheirkhah, des Summoning Teams, nahm $40.000, indem sie Root-Privilegien auf Multimedia-Empfänger und Browser (einschließlich der Kenwood DNR1007XR und der Alpine iLX-F511) erhalten und auch einen ChargePoint-Ladegerät kompromissieren. Ebenso erhielten Rob Blakely (Technical Debt Collectors) und Hank Chen (InnoEdge Labs) jeweils $40.000 für die Demonstration von Fehlerketten, die Automotive Grade Linux und die Alpitonic HYC50 Ladestation betreffen.
Die Summe der in den ersten beiden Tagen erzielten Ergebnisse beträgt $955,750 verteilt nach der Ausbeutung von 66 Null-Tage-Schwachstellen, die die Dichte von kritischen Ausfällen, die noch im vernetzten Automobil-Ökosystem bestehen, bestätigt. Das vollständige Detail des Zeitplans und der Ziele des Wettbewerbs wird von ZDI in seiner Event-Programmierung veröffentlicht ( in den Warenkorb), und bietet Kontext, auf dem Hersteller und Modelle Gegenstand jeder Herausforderung sind.
Der dritte Tag fuhr mit geplanten Angriffen auf bestimmte Stationen fort: Die Grizzl-E Smart 40A wird wieder von Teams wie Slow Horses of Qrious Secure und PetoWorks, Juurin Oy wird versuchen, die Alpitonic HYC50 und Ryo Kato für die MaxiCharger Atel zu kompromittieren. Diese Wiederholungen sind nicht lässig: In vielen Fällen geht es darum, alternative Angriffsvektoren zu validieren, die Reproduzierbarkeit der Exploits zu bestätigen und zu untersuchen, ob dieselbe Verwundbarkeit aus unterschiedlichen Winkeln (z.B. physikalische Schnittstelle zum Netzwerk) ausgenutzt werden kann.
Um zu verstehen, warum Pwn2Own zählt, sollte daran erinnert werden, dass die hier entdeckten Fehler nicht sofort offen veröffentlicht werden. Die betroffenen Hersteller haben 90 Tage zur Entwicklung und Verbreitung von Patches Nach der Mitteilung ist ein Zeitrahmen, der Teil des verantwortlichen koordinierten Outreach-Prozesses ist, der von der ZDI und anderen Initiativen zur Verbesserung der Sicherheit durch Forschungsanreize geführt wird. Dieser Mechanismus zielt darauf ab, die Dringlichkeit der Korrektur von Fehlern mit der Notwendigkeit auszugleichen, dass Lieferanten technisch komplette Lösungen liefern, wodurch die Ausfälle nicht ohne Abhilfe für Benutzer und Betreiber ausgesetzt werden. Weitere Informationen über die Philosophie und Regeln des Programms sind auf der Website der Zero Day Initiative.
Das Modell der bezahlten Wettbewerbe bietet mehrere praktische Vorteile: es zieht hochqualifizierte Forscher an, die echte Szenarien auf Hardware und kommerzielle Software testen, die Hersteller zwingen, die Sicherheit von Produkten, die Netzwerke und Sensoren integrieren, ernst zu nehmen und die Verfügbarkeit von Patches zu beschleunigen. Es zeigt aber auch, dass der Übergang zu vernetzten Fahrzeugen und intelligente Wiederaufladungsinfrastruktur eine neue Komplexitäts- und Angriffsfläche eingeführt hat, die viele Unternehmen noch zu verwalten lernen.
Diese Ereignisse zeigen seit Jahren einen konstanten Ton: Moderne Automobilsysteme kombinieren Komponenten von Drittanbietern, geerbte Embedded-Software und zunehmend anspruchsvolle Netzwerkverbindungen, die die Vektoren multiplizieren, mit denen ein Angreifer kritische Funktionen zugreifen könnte. In diesem Zusammenhang dienen Initiativen wie Pwn2Own als öffentliche und konstruktive Stresstests, die die Industrie auffordern, ihr Sicherheitsniveau zu erhöhen.
Wenn Sie daran interessiert sind, die Ergebnisse und die von Herstellern und Organisatoren angekündigten Minderungen zu verfolgen, sind die Zusammenfassungen des Wettbewerbs und die offiziellen ZDI-Veröffentlichungen ein guter Ausgangspunkt ( Ergebnisse des Tages 2 und Vollprogramm) Für Industrie und Anwender ist die Lektion klar: Konnektivität bringt Komfort, aber es auch Kräfte, Sicherheit als Design-Anforderung zu integrieren, nicht als Back-Patch.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...