Die 2026-Ausgabe von Pwn2Own Automotive hat diese Woche in Tokio mit einer markanten Figur geschlossen: Sicherheitsforscher haben sich zusammengeschlossen $1,047,000 nach dem Nachweis der Ausbeutung von 76 Null-Tage-Schwachstellen zwischen 21 und 23 Januar. Die Veranstaltung, die während der Konferenz stattfand Automobilindustrie sich erneut auf die Sicherheit von vernetzten Fahrzeugen und die damit verbundene Infrastruktur konzentriert.
Pwn2Own Automotive ist ein von der Zero Day Initiative (ZDI) organisierter Wettbewerb, der Forschungsteams auffordert, Fehler in realen Systemen zu finden und zu demonstrieren, sowohl in Autos als auch in verwandten Peripheriegeräten. In dieser Ausgabe umfassten die Ziele aktuelle Infoentertainment-Systeme, Elektro-Fahrzeugladegeräte und autoorientierte Betriebssysteme wie Automotive Grade Linux. Die Philosophie hinter dem Wettbewerb ist praktisch: Versagen unter kontrollierten Bedingungen zu demonstrieren und Hersteller zu zwingen, sie vor ihrer Offenlegung zu korrigieren. Nach ZDI-Politik haben die Hersteller 90 Tage um Patches zu veröffentlichen, da eine Schwachstelle im Wettbewerb entdeckt wird; diese Marge versucht, die Sicherheit des Endbenutzers mit der Notwendigkeit der Reparatur durch den Lieferanten auszugleichen. Weitere Details zu den Ergebnissen und dem Zeitplan sind in den ZDI-Berichten über den Wettbewerb verfügbar: Zusammenfassung von Tag drei und Vollständige Programmierung.
Jenseits des Wirtschaftsbesitzers, was die Industrie betrifft, ist die Art der Vektoren, die ausgenutzt wurden. Infoentertainment-Systeme (IVI) werden immer leistungsfähiger und zugänglicher: Sie unterstützen USB-Anschlüsse, drahtlose Anschlussmöglichkeiten und Anwendungen von Drittanbietern, wodurch sie ein idealer Einstiegspunkt für Kletterangriffe auf kritischere Fahrzeugdomänen sind. Elektro-Fahrzeuglader (EV) sind ihrerseits keine einfachen Smart Plugs; viele integrierte Controller, Netzwerk-Schnittstellen und Management-Panels, die angegriffen werden können, um die Wiederaufladung zu unterbrechen, die Abrechnung zu manipulieren oder in extremen Szenarien die lokale elektrische Verfügbarkeit beeinflussen. Die Demonstration von 76 Schwachstellen in nur drei Tagen ist eine Erinnerung daran, dass die Angriffsfläche im Automobil-Ökosystem weiter wächst, wie die Komplexität seiner Komponenten.
Auf dem Preis-Podium, das Team Fuzzware.io wurde mit dem ersten Posten und $215.000 nach einer Reihe von erfolgreichen Demonstrationen erhöht. Zu seinen Zielen gehörten Stationen und Lastregler wie die Alpitronic HYC50 und Markengeräte wie Autel sowie Multimedia-Empfänger wie die Kenwood DNR1007XR. Am zweiten Tag erweiterten sie ihre Streak auf Industrie-Controller und Hauslader - einschließlich eines Ausfalls im Phoenix Contact CHARX SEC-3150 Treiber, sowie in ChargePoint Home Flex und Grizzl-E Stationen - und endeten mit einer kleinen zusätzlichen Belohnung für eine Bugkollision durch den Versuch, einen iLX-F511 Alpenrezeptor zu verwurzeln. Auch andere Teams wie DDOS und Synactiv erhielten wichtige Auszeichnungen; Synacktiv z.B. kettete ein Off-Limit-Schreiben mit einem Leck an Informationen, um Teslas Infoentertainment-System durch einen USB-Angriff zu kompromittieren. Diese Angaben und vollständigen Nachweise finden Sie im ZDI-Bericht an den Tagen des Wettbewerbs ( ZDI: Tag Drei Ergebnisse)
Die Teilnahme an dieser Funktion dient gleichzeitig zwei Dingen: Sie zeigen die wirklichen Schwächen, die heute existieren, und schaffen einen wirksamen Druck auf die Hersteller, in Patches und beste sichere Entwicklungspraktiken zu investieren. Die einfache Existenz eines nicht auf Nachfrage befindlichen Patches reicht jedoch nicht aus: Die Automobilindustrie muss sicherstellen, dass Updates Fahrzeuge und Geräte vor Ort erreichen, idealerweise durch sichere OTA- (Over-the-Air-)Mechanismen und separate kritische Silosfunktionen, die es schwierig machen, sich nach dem ersten Eindringen zu bewegen. Die Verwaltung von Abhängigkeiten, die Überprüfung von Komponenten Dritter und die Annahme von Kontrollen wie Firmware-Signatur und sicherer Start sind Maßnahmen, die wichtiger werden, da das Auto ein weiterer Knoten des Netzes wird.
Aus der Sicht des Anwenders und des Betreibers zeigen diese Tests, dass die Sicherheit nicht mehr ein exklusives Problem für den Hersteller ist: Workshops, Flottenmanager und Eigentümer sollten Transparenz verlangen, wie Updates verwaltet werden und welche Garantien für die Isolation kritischer Systeme bestehen. Für Städte und Infrastrukturbetreiber sind die Sicherheitslücken bei EV-Ladegeräten mit operativen und wirtschaftlichen Risiken verbunden, die eine Koordinierung zwischen Herstellern, Energieversorgern und Regulierungsbehörden erfordern.
Wettbewerbe wie Pwn2Own Funktion als Sicherheitsbeschleuniger: Sie fördern diejenigen, die Versagen entdecken, sie verantwortungsvoll zu melden, anstatt Exploits in grauen Märkten zu verkaufen, und erzeugen nützliche Daten, um Korrekturen zu priorisieren. Aber der Geldpreis ist nicht wahrer Erfolg: der reale Wert ist, dass diese Schwachstellen nicht in realen Geräten existieren, die Energie zirkulieren oder liefern. Die Verantwortung liegt nun bei Herstellern und Systemintegratoren, diese Erkenntnisse in effektive Updates und kontinuierliche Audits umzusetzen.
Wenn Sie die Ergebnisse und Techniken während der Veranstaltung vertiefen möchten, sind die offiziellen Berichte von ZDI die beste Quelle: Zusammenfassung der Schließung des Wettbewerbs und Vollständige Programmierung Sie bieten Listen von Zielen, Beschreibungen der verwendeten Techniken und des Zeitpunkts der Offenlegung an die Hersteller.
Die Lektion für 2026 ist klar: Da Mobilität und Elektrifizierung mit hoher Geschwindigkeit voranschreiten, muss Cybersicherheit eine frühe und nachhaltige Priorität sein. Investitionen in sicheres Design, zuverlässige Aktualisierungsprozesse und Transparenz bei der Offenlegung von Fehlern sind nicht optional; es ist unerlässlich, Nutzer, Flotten und Infrastrukturen zu schützen, die die elektrische Mobilität unterstützen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...