A edição 2026 de Pwn2Own Automotive fechou esta semana em Tóquio com um número chamado: os pesquisadores de segurança foram levados em conjunto 1.047.000 dólares Após demonstrar a exploração de 76 vulnerabilidades zero-day entre 21 e 23 de janeiro. O evento, realizado durante a conferência Automotive World, pôs de novo o foco na segurança dos veículos ligados e da infraestrutura que os rodeia.
Pwn2Own Automotive é um concurso organizado pela iniciativa Zero Day Initiative (ZDI) que desafia equipes de pesquisadores a encontrar e demonstrar falhas em sistemas reais, tanto em automóveis como em periféricos relacionados. Nesta edição, os objetivos incluíram sistemas de infoentretenimento atualizados, carregadores para veículos elétricos e sistemas operacionais orientados ao automóvel, como Automotive Grade Linux. A filosofia por trás do certamen é prática: demonstrar falhas em condições controladas e obrigar fabricantes a corrigi-los antes de sua divulgação pública. De acordo com a política de ZDI, os fabricantes dispõem de 90 dias para publicar adesivos desde que se reporta uma vulnerabilidade descoberta no concurso; essa margem busca equilibrar a segurança do usuário final com a necessidade de reparação por parte do fornecedor. Mais detalhes sobre os resultados e o calendário estão disponíveis nos relatórios ZDI sobre o concurso: resumo do dia três e programação completa.
Além do titular económico, o que preocupa a indústria é o tipo de vetores a explorar. Os sistemas de infoentretenimento (IVI) são cada vez mais potentes e acessíveis: admitem portos USB, conectividade sem fios e aplicações de terceiros, tornando-os um ponto de entrada ideal para escalar ataques para domínios mais críticos do veículo. Por sua vez, os carregadores de veículos elétricos (EV) não são simples tomadas inteligentes; muitos integram controladores, interfaces de rede e painéis de gestão que podem ser atacados para interromper a recarga, manipular o faturamento ou, em cenários extremos, afetar a disponibilidade elétrica local. A demonstração de 76 vulnerabilidades em apenas três dias é um lembrete de que a superfície de ataque no ecossistema automóvel continua crescendo tanto quanto faz a complexidade de seus componentes.
No pódio de premiados, a equipe Fuzzware.io Ficou com o primeiro lugar e com 215.000 dólares depois de uma série de demonstrações bem sucedidas. Entre seus objetivos figuraram estações e controladores de carga como o Alpitronic HYC50 e dispositivos de marcas como Autel, além de receptores multimídia como o Kenwood DNR1007XR. No segundo dia ampliaram a sua série de controladores industriais e carregadores domésticos — incluindo uma falha no driver CHARX SEC‐3150 de Phoenix Contact, bem como em estações ChargePoint Home Flex e Grizzl-E — e terminaram com uma pequena recompensa adicional por uma colisão de bugs ao tentar rootear um receptor Alpine iLX‐F511. Outros equipamentos como DDOS e Synactiv também foram feitos prêmios importantes; Synacktiv, por exemplo, encadeou uma escrita fora de limites com uma fuga de informação para comprometer o sistema de infoentretenimento de Tesla através de um ataque USB. Estes pormenores e os testes completos podem ser consultados no relatório ZDI sobre os dias do concurso ( ZDI: Day Three Results).
Participações como esta servem para duas coisas ao mesmo tempo: mostram as fraquezas reais que existem hoje em dia e criam uma pressão efetiva sobre os fabricantes para investirem em adesivos e em melhores práticas de desenvolvimento seguro. No entanto, a simples existência de um adesivo não sob demanda não basta: a indústria automóvel deve garantir que as atualizações cheguem aos veículos e equipamentos no terreno, idealmente através de mecanismos OTA (over-the-air) seguros, e separar funções críticas em silos que dificultem um movimento lateral após uma primeira intrusão. A gestão de dependências, a revisão de componentes de terceiros e a adoção de controles como a assinatura de firmware e arranque seguro são medidas que adquirem maior importância conforme o carro se torna um nó mais da rede.
Do ponto de vista do usuário e do operador, estes testes demonstram que a segurança já não é uma questão exclusiva do fabricante: oficinas, gestores de frotas e proprietários deveriam exigir transparência sobre como são geridas as atualizações e quais garantias existem para o isolamento de sistemas críticos. Para as cidades e operadores de infra-estruturas, as vulnerabilidades nos carregadores EV implicam riscos operacionais e económicos que exigem coordenação entre fabricantes, fornecedores de energia e reguladores.
Os concursos como o Pwn2Own funcionam como um acelerador de segurança: incentivam aqueles que descobrem falhas a relatar de forma responsável em vez de vender exploits em mercados cinzentos, e geram dados úteis para priorizar correções. Mas o prêmio em dinheiro não é o verdadeiro sucesso: o verdadeiro valor está em que essas vulnerabilidades deixem de existir em equipamentos reais que circulam ou fornecem energia. A responsabilidade recai agora nos fabricantes e nos integradores de sistemas para transformar estes achados em atualizações efetivas e auditorias contínuas.
Se você quer aprofundar os resultados e as técnicas demonstradas durante o evento, os relatórios oficiais de ZDI são a melhor fonte primária: Resumo do encerramento do concurso e a programação completa Oferecem listas de objetivos, descrições das técnicas utilizadas e a cronologia de divulgação aos fabricantes.
A lição para 2026 é clara: enquanto a mobilidade e a electrificação avançam em grande velocidade, a cibersegurança deve ser uma prioridade precoce e mantida. Investir em design seguro, processos de atualização confiáveis e transparência na divulgação de falhas não é opcional; é essencial para proteger usuários, frotas e infraestrutura que suporta a mobilidade elétrica.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...