Durante a primeira jornada do concurso Pwn2Own Automotive 2026, realizado em Tóquio dentro do evento Automotive World, pesquisadores de segurança demonstraram com fatos por que os sistemas conectados dos carros e as infra-estruturas de carga elétricos continuam sendo um alvo crítico: conseguiram explodir dezenas de vulnerabilidades de dia zero e levaram mais de meio milhão de dólares apenas por comprometer o sistema de infoentretenimento de Tesla.
O certamen, organizado pela Zero Day Initiative (ZDI) da Trend Micro, tornou-se uma exibição aberta de cadeias de exploits, onde pequenas falhas encadeadas permitem tomar o controle de dispositivos que, a olho nu, apenas servem para reproduzir música ou gerir um ponto de carga. A própria ZDI publica o calendário e os resultados do evento; em seu blog estão disponíveis tanto a programação completa como o relatório do primeiro dia, que servem como fonte direta do ocorrido ( Programa e Resultados do Dia 1).
Entre os equipamentos destacados, Synacktiv encadenou uma filtragem de informações com uma falha de escrita fora de limites para escalar privilégios ao nível de root no sistema de infoentretenimento de Tesla através de um ataque via USB, e também demonstrou execução de código a nível raiz em um receptor multimídia da Sony. Outros participantes como Fuzzware.io, PetoWorks ou o grupo conhecido como DDOS conseguiram romper a defesa de estações de carga e navegadores para automóveis, acumulando prêmios significativos por cada exploit bem-sucedido. No total, dezenas de vulnerabilidades exploradas no primeiro dia foram registadas, com recompensas contadas em centenas de milhares de dólares., algo que reflete a alta avaliação que a indústria e os organizadores dão a este tipo de achados.
Por que importa tanto que se hackee um sistema de infoentretenimento ou uma estação de carga? Porque nos carros modernos esses componentes já não são isolados: através de redes internas, atualizações OTA ou portos físicos podem atuar como vetores para alcançar elementos críticos como o controlador CAN, os sistemas de assistência ao condutor ou a telemetria. No caso das infra-estruturas de carga, uma vulnerabilidade pode permitir desde manipular o faturamento até interromper a disponibilidade de carga ou, em cenários extremos, afetar a segurança física do veículo ou o fornecimento elétrico local.
Pwn2Own é um exercício deliberado de risco controlado: os pesquisadores mostram exploits reais contra dispositivos atualizados e, em troca de um pagamento, reportam as vulnerabilidades aos fabricantes para que preparem adesivos. A ZDI aplica uma janela de divulgação responsável — os vendedores dispõem de um prazo de reparação antes que os detalhes sejam tornados públicos — e essa política busca equilibrar a necessidade de a indústria regular falhas com a transparência sobre a sua existência. A própria ZDI e Trend Micro explicam em seus canais como estes processos funcionam e porque são importantes para a segurança global do ecossistema conectado ( Zero Day Initiative).
O concurso deixa duas grandes lições: primeiro, que os sistemas que gerem o entretenimento, a navegação e a carga são suficientemente complexos para conter múltiplas falhas exploáveis; segundo, que a economia da segurança incentivada (pagamentos diretos por vulnerabilidades) continua a ser uma forma eficaz de as empresas conhecerem e levantarem os seus problemas antes de um mal-intencionado atacante.
Em paralelo aos testes no cenário, o calendário do evento anunciava que na segunda jornada se intensificariam as tentativas contra carregadores concretos, com vários equipamentos competindo por comprometer modelos como o Grizzl-E Smart 40A, o Autel MaxiCharger ou o ChargePoint Home Flex. Cada tentativa bem-sucedida de “root” nestes equipamentos levava prêmios robustos, uma mecânica que atrai pesquisadores especializados em hardware e firmware.
Para compreender melhor a importância deste tipo de exercícios, convém lembrar que os regulamentos e guias de cibersegurança automotivo têm avançado nos últimos anos. Organismos e agências como a Administração Nacional de Segurança do Tráfico nas Estradas dos Estados Unidos (NHTSA) e organismos internacionais têm enfatizado práticas e padrões que visam reduzir a superfície de ataque nos veículos ligados e suas infra-estruturas relacionadas ( NHTSA – Cybersecurity). A colaboração entre pesquisadores independentes, fabricantes e reguladores é fundamental para que as melhorias cheguem ao parque circulante.
No final, os demonstrativos públicos como Pwn2Own atuam como um termômetro: mostram vulnerabilidades reais, insuflam urgência para aplicar adesivos e ajudam a definir melhores práticas de design e segmentação de redes dentro do veículo. Embora ver um Tesla ou uma estação de carga comprometida possa soar alarmante, o objetivo destes eventos é precisamente que essas falhas se corrijam antes que alguém com intenções criminosas possa explorá-los.
Se você quiser seguir os anúncios e atualizações ao vivo, os canais oficiais da organização oferecem o relatório detalhado de cada desafio, bem como links para as respostas dos fabricantes e correções publicadas após o período de 90 dias estabelecido para o adesivo. Para ampliar o contexto do congresso que acolhe o concurso, a web de Automotive World contém a informação do evento e as sessões em que se está desenvolvendo Pwn2Own ( Automotive World).
Em suma, enquanto a mobilidade digitaliza e electrifica, a segurança passa de ser um requisito complementar a ser uma necessidade estrutural. Eventos como Pwn2Own Automotive não só premiam aqueles que encontram falhas, mas ajudam a construir um ecossistema onde carros e redes de carga sejam mais confiáveis para todos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...