Pwn2Own Automotive 2026: 37 Zero-Day Scoperti nel Primo Giorno
Resoconto tecnico della prima giornata di Pwn2Own Automotive 2026: risultati, vulnerabilità scoperte e premi assegnati ai team di sicurezza
Contenuto
Scopri anche
- Strategie e Investimenti AI 2026: Nvidia, Tesla, Apple e le Tendenze dal CES
- Fine supporto Xiaomi: dispositivi senza aggiornamenti di sicurezza dal 2025
- Vulnerabilità Zero-Day: La Minaccia Invisibile nei Sistemi Informatici
- Pwn2Own Automotive 2026: Record di 76 Zero-Day Colpiscono la Sicurezza Veicolare
- Vulnerabilità WinRAR CVE-2025-8088: Rischio Esecuzione Codice e Necessità di Aggiornamento Manuale
- Apple AirBorne: vulnerabilità zero-click in AirPlay mette a rischio milioni di dispositivi
- Tesla Infotainment System Hacked: 37 Zero-Day Vulnerabilità Scoperte al Pwn2Own Automotive 2026
- Nvidia Alpamayo: la sfida AI alla guida autonoma di Tesla
- Analisi della vulnerabilità CVE-2026-21509 in Microsoft Office e misure di mitigazione
- Vulnerabilità WordPress: Come Proteggere il Tuo Sito dai Rischi più Comuni
- Sicurezza informatica nel settore sanitario: rischi e protezione dei dispositivi IoT e IoMT
- La Sicurezza degli LLM Minacciata: Dirottamento e Fughe di Prompt nel 2025
- Apple rilascia aggiornamenti di sicurezza settembre 2025: patch per Safari e sistemi operativi
- Jailbreak PS5: le chiavi di root e le vulnerabilità dell'hypervisor
- WhisperPair: la vulnerabilità critica negli auricolari Bluetooth che permette tracciamento e intercettazione
- Vulnerabilità WhisperPair negli auricolari Bluetooth: rischi e soluzioni
- Vulnerabilità di sicurezza in Google Gemini: l'analisi tecnica degli attacchi via Calendar
- Aggiornamento iPhone: sicurezza iOS 26 e risoluzione errori
- Attacchi Spyware Mercenari su iPhone: Apple Conferma Minacce Globali
- Vulnerabilità WhisperPair: il rischio critico per milioni di auricolari Bluetooth
Pwn2Own Automotive 2026: Analisi Tecnica dei Primi Risultati
Il Contesto della Competizione
⬆ Torna suPwn2Own Automotive 2026 si svolge questa settimana a Tokyo, Giappone, durante la conferenza Automotive World. La competizione si concentra sulle tecnologie automotive e vede ricercatori di sicurezza testare sistemi di infotainment veicolari, caricatori per veicoli elettrici e sistemi operativi automotive completamente patchati.
La competizione prevede tre giorni di attività, dal 21 al 23 gennaio 2026. Nel primo giorno sono stati assegnati 516.500 dollari per la scoperta di 37 vulnerabilità zero-day.
I Principali Successi del Primo Giorno
⬆ Torna suSynacktiv Team ha ottenuto 35.000 dollari compromettendo il Tesla Infotainment System attraverso un attacco basato su USB. I ricercatori hanno concatenato un information leak e una vulnerabilità out-of-bounds write per ottenere permessi root sul sistema.
Lo stesso team ha anche guadagnato ulteriori 20.000 dollari concatenando tre vulnerabilità per ottenere l'esecuzione di codice a livello root sul ricevitore multimediale digitale Sony XAV-9500ES.
Attacchi alle Infrastrutture di Ricarica
⬆ Torna suFuzzware.io ha collezionato 118.000 dollari compromettendo una stazione di ricarica Alpitronic HYC50, un caricatore Autel e un ricevitore di navigazione Kenwood DNR1007XR. Il team ha sfruttato principalmente la mancanza di autenticazione e la verifica errata delle firme crittografiche.
Team DDOS ha guadagnato 72.500 dollari attaccando il ChargePoint Home Flex, l'Autel MaxiCharger e la stazione di ricarica veicolare Grizzl-E Smart 40A. PetoWorks ha ricevuto invece 50.000 dollari per aver concatenato tre bug contro il controller Phoenix Contact CHARX SEC-3150.
Risultati Dettagliati per Categoria
⬆ Torna suNella categoria In-Vehicle Infotainment, Neodyme AG ha sfruttato uno stack-based buffer overflow sull'unità Alpine iLX-F511, guadagnando 20.000 dollari. Yannik Marchand ha invece sfruttato un out-of-bounds write per compromettere il Kenwood DNR1007XR.
Compass Security ha ottenuto 25.000 dollari contro la stazione Grizzl-E Smart 40A, concatenando un authentication bypass per ottenere l'esecuzione di codice remoto. Cycraft Technology ha guadagnato 10.000 dollari sempre contro la Grizzl-E Smart 40A, a causa di una collisione di 2 bug.
La Classifica Provvisoria
⬆ Torna suDopo il primo giorno, Fuzzware.io si trova in testa alla classifica per il titolo di "Master of Pwn", seguito da Team DDOS. Compass Security e Synacktiv occupano le posizioni successive, mentre PetoWorks completa la top five.
La competizione continuerà nei prossimi giorni con ulteriori tentativi contro vari sistemi automotive. I vendor avranno 90 giorni di tempo per sviluppare e rilasciare patch di sicurezza prima che le vulnerabilità vengano divulgate pubblicamente.
Prospettive per le Giornate Successive
⬆ Torna suNel secondo giorno di Pwn2Own, la stazione Grizzl-E Smart 40A sarà bersaglio di quattro team, l'Autel MaxiCharger sarà attaccato tre volte, mentre due team tenteranno di ottenere i privilegi root sul ChargePoint Home Flex. Ogni tentativo riuscito frutterà 50.000 dollari.
Fuzzware.io tenterà anche di compromettere il caricatore veicolare Phoenix Contact CHARX SEC-3150 per un premio di 70.000 dollari.
Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.
Fonti
⬆ Torna su- https://www.bleepingcomputer.com/news/security/tesla-hacked-37-zero-days-demoed-at-pwn2own-automotive-2026/
- https://www.securityinfo.it/2026/01/21/sfruttate-37-vulnerabilita-zero-day-nel-primo-giorno-di-pwn2own-automotive/
- https://www.zerodayinitiative.com/blog/2026/1/21/pwn2own-automotive-2026-day-one-results
In breve
- tesla
- vulnerabilità
- hacker
- automotive