O segundo dia do concurso Pwn2Own Automotive 2026 deixou uma facturação impressionante para os caçadores de falhas: 439.250 dólares em prêmios após explorar 29 vulnerabilidades zero-day diferentes. A competição, que se celebra de 21 a 23 de janeiro em Tóquio no marco da conferência Automotive World, volta a colocar o foco na segurança dos sistemas que hoje movem e carregam os carros elétricos e seus centros multimídia.
Em Pwn2Own Automotive os equipamentos enfrentam dispositivos completamente adesivos: estações de carga para veículos elétricos, sistemas de infoentretenimento (IVI) e sistemas operacionais automotrices como Automotive Grade Linux. O propósito não é apenas ganhar prêmios em dinheiro, mas forçar a identificação e correção de falhas que, no mundo real, poderiam traduzir-se em riscos para a privacidade ou até a segurança física de motoristas e passageiros. A organização disponibiliza o registro de resultados e detalhes técnicos; o resumo do segundo dia pode ser consultado no blog da iniciativa Zero Day Initiative (ZDI), onde também se explica a dinâmica e critérios do concurso.
Após as duas primeiras jornadas, Fuzzware.io lidera a classificação com 213.000 dólares acumulados, parte dos quais provinham de ataques bem sucedidos contra controladores e estações de carga como o Phoenix Contact CHARX SEC‐3150, o ChargePoint Home Flex e a Grizzl-E Smart 40A. Outros equipamentos destacaram a diversidade de objetivos e a complexidade de suas cadeias de exploração: Sina Kheirkhah, do Summoning Team, levou 40.000 dólares ao conseguir privilégios root em receptores multimídia e navegadores (entre eles o Kenwood DNR1007XR e o Alpine iLX-F511) e também comprometer um carregador ChargePoint. Da mesma forma, Rob Blakely (Technical Debt Collectors) e Hank Chen (InnoEdge Labs) obtiveram 40.000 dólares cada um por demonstrar cadeias de falhas que afetam Automotive Grade Linux e a estação de carga Alpitronic HYC50.
A soma do obtido nas duas primeiras jornadas eleva-se a 955.750 dólares repartidos após a exploração de 66 vulnerabilidades zero-day, o que confirma a densidade de falhas críticas que ainda persistem no ecossistema automotivo conectado. O detalhe completo do cronograma e dos objetivos da competição é publicado por ZDI em sua programação do evento ( consultar o calendário) e oferece contexto sobre quais fabricantes e modelos são objeto de cada desafio.
O terceiro dia continuou com ataques planejados contra estações concretas: a Grizzl-E Smart 40A voltará a ser alvo por equipes como Slow Horses de Qrious Secure e PetoWorks, Juurin Oy tentará comprometer a Alpitronic HYC50 e Ryo Kato irá pelo Autel MaxiCharger. Estas repetições não são casuais: em muitos casos se trata de validar vetores de ataque alternativos, confirmar a reprodutibilidade dos exploits e explorar se uma mesma vulnerabilidade pode ser explorada a partir de diferentes ângulos (por exemplo, interface física frente à rede).
Para entender por que Pwn2Own importa, convém lembrar que os erros descobertos aqui não se publicam imediatamente de forma aberta. Os fabricantes em causa dispõem de 90 dias para desenvolver e distribuir adesivos Após a notificação, um prazo que faz parte do processo responsável pela divulgação coordenada impulsionado pela ZDI e outras iniciativas destinadas a melhorar a segurança através de incentivos à investigação. Este mecanismo busca equilibrar a urgência de corrigir erros com a necessidade de os fornecedores fornecerem soluções tecnicamente completas, evitando que os erros sejam expostos sem remédio a usuários e operadores. Mais informações sobre a filosofia e as regras do programa estão disponíveis na web da Zero Day Initiative.
O modelo de concursos remunerados oferece várias vantagens práticas: atrai pesquisadores altamente qualificados que testam cenários reais sobre hardware e software comercial, obriga fabricantes a levar a sério a segurança de produtos que integram redes e sensores e acelera a disponibilidade de adesivos. No entanto, também revela que a transição para veículos ligados e infra-estruturas de recarga inteligentes introduziu uma nova camada de complexidade e superfície de ataque que muitas empresas ainda estão aprendendo a gerir.
Há anos que esses eventos mostram uma tônica constante: os sistemas automotrices modernos combinam componentes de terceiros, software embebido herdado e conexões de rede cada vez mais sofisticadas, o que multiplica os vetores pelos quais um atacante poderia acessar funções críticas. Neste contexto, iniciativas como Pwn2Own servem como testes de estresse público e construtivos que pressionam a indústria para elevar seu nível de segurança.
Se você se interessar por seguir os resultados e as mitigações que vão anunciando fabricantes e organizadores, os resumos do concurso e os comunicados oficiais do ZDI são um bom ponto de partida ( Resultados do Dia 2 e programa completo). Para a indústria e os usuários, a lição é clara: a conectividade traz conforto, mas também obriga a incorporar a segurança como requisito de design, não como adesivo posterior.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...