【安全圈】打臉？特斯拉車載信息娛樂系統在 Pwn2Own 大賽被黑客快速攻破

關鍵詞

服務器故障

在由趨勢科技“零日漏洞計劃”主辦的年度Pwn2Own汽車安全破解大賽上，參賽團隊圍繞汽車軟硬件安全漏洞展開挖掘，目前已有研究人員通過演示多款系統的漏洞，贏得數十萬美元獎金。

其中，Synacktiv團隊表現尤為突出。該團隊利用信息泄露漏洞與越界寫入漏洞，通過基于USB接口的攻擊路徑，成功攻陷特斯拉的信息娛樂控制單元。

憑借這一成果，該團隊斬獲3.5萬美元獎金，同時也讓人們對聯網汽車面臨的物理訪問類漏洞風險的擔憂進一步加劇。不過，特斯拉對此或許也會樂見其成。

特斯拉之所以會樂見其成，是因為早在2024年，其就已經獎勵了Synacktiv 20萬美元現金和一輛Model 3，以表彰他們演示了一系列攻擊鏈。這些攻擊本可能被惡意攻擊者用來入侵特斯拉的CAN總線和ECU。

從理論上講，這類高危漏洞足以讓攻擊者干預特斯拉汽車的多項核心系統，包括發動機與變速箱控制、電池管理、動力總成、懸架系統、車門及座椅控制、遠程信息處理系統等。

同年，來自iOS應用開發公司Mysk的兩名安全研究人員也演示了一種攻擊手法：僅通過搭建一個偽造的WiFi登錄頁面，就能利用社會工程學手段，在理論上復制特斯拉汽車的手機應用鑰匙并將其盜取。

2026年Pwn2Own汽車安全破解大賽于東京舉辦。在首日比賽中，參賽團隊成功演示了37個獨特漏洞，累計斬獲 51.65萬美元獎金。

盡管大賽中不少黑客團隊都是通過攻克信息娛樂系統，實現對各類車輛的未授權訪問，但這并非他們使用的唯一攻擊路徑。

例如，Fuzzware.io 團隊成功破解了Autel的MaxiCharger 汽車充電樁，贏得5萬美元獎金。此外，還有其他團隊分別攻破了Phoenix Contact的充電連接器，以及Grizzl-E Smart智能充電樁。

一名研究人員近期警告稱，電動汽車接入充電樁的過程，實際上會建立起一條數據鏈路，而這條鏈路可能被濫用于發起多種攻擊。黑客可借此實施盜刷資金、竊取數據、盜取電力等操作，甚至能實現未授權控制，或直接癱瘓整個系統。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！