Pwn2Own Automotive 2026: Record di 76 Zero-Day Colpiscono la Sicurezza Veicolare
La competizione di hacking Pwn2Own Automotive 2026 si conclude con 76 zero-day sfruttati e premi per 1.047.000 dollari. Focus su sistemi di infotainment e colo…
Contenuto
Scopri anche
- Tesla Infotainment System Hacked: 37 Zero-Day Vulnerabilità Scoperte al Pwn2Own Automotive 2026
- Cisco corregge vulnerabilità RCE zero-day nei prodotti Unified Communications
- Patch Tuesday: Perché Microsoft Rilascia Gli Aggiornamenti Sempre Il Secondo Martedì Del Mese
- Strategie e Investimenti AI 2026: Nvidia, Tesla, Apple e le Tendenze dal CES
- Pwn2Own Automotive 2026: 37 Zero-Day Scoperti nel Primo Giorno
- Patch Tuesday gennaio 2026: Microsoft corregge vulnerabilità zero-day già sfruttata
- Nvidia Alpamayo: la sfida AI alla guida autonoma di Tesla
- Apple iOS 26.2: Patch Urgente per Due Zero-Day in WebKit
Pwn2Own Automotive 2026: Record di 76 Zero-Day Colpiscono la Sicurezza Veicolare
La competizione di hackeraggio Pwn2Own Automotive 2026 si è conclusa con un risultato da record. Tra il 21 e il 23 gennaio, i ricercatori di sicurezza hanno ottenuto 1.047.000 di dollari sfruttando 76 vulnerabilità zero-day.
L'evento si è svolto a Tokyo, in Giappone, nell'ambito della conferenza Automotive World. Il focus della competizione è rimasto sulle tecnologie automotive, con i team di sicurezza che hanno preso di mira sistemi completamente aggiornati.
I bersagli dell'hacking automotive
⬆ Torna suI ricercatori hanno concentrato i loro attacchi su tre categorie principali di dispositivi connessi all'auto. I sistemi di infotainment (IVI) installati a bordo veicolo sono stati uno degli obiettivi più frequenti.
Un'altra categoria presa di mira è stata quella delle colonnine di ricarica per veicoli elettrici (EV). Anche i sistemi operativi automotive, come Automotive Grade Linux, sono stati oggetto di exploit durante la competizione.
I protagonisti della competizione
⬆ Torna suTeam Fuzzware.io si è aggiudicato il primo posto nella classifica finale di Pwn2Own Automotive 2026. Il team ha portato a casa 215.000 dollari in premi, dimostrando vulnerabilità in diverse tecnologie.
Al secondo posto si è classificato Team DDOS con 100.750 dollari, seguito da Synactiv con 85.000 dollari. Nel complesso, Fuzzware.io ha ottenuto 118.000 dollari solo nel primo giorno di gara.
Exploit nel dettaglio: dal caricabatterie al sistema Tesla
⬆ Torna suLe azioni di Fuzzware.io hanno incluso l'hacking di una stazione di ricarica Alpitronic HYC50, di un caricabatterie Autel e di un ricevitore di navigazione Kenwood DNR1007XR. Nel secondo giorno, il team ha guadagnato altri 95.000 dollari dimostrando zero-day nel controller di ricarica Phoenix Contact CHARX SEC-3150, nel caricabatterie ChargePoint Home Flex e nella stazione di ricarica Grizzl-E Smart 40A.
Synacktiv Team ha ottenuto 35.000 dollari sfruttando una catena di vulnerabilità sul sistema di infotainment Tesla. L'attacco, avvenuto il primo giorno di Pwn2Own, ha utilizzato un metodo basato su porta USB per compromettere il sistema.
La tecnica ha combinato una vulnerabilità di scrittura fuori dai limiti (out-of-bounds write) con una perdita di informazioni (information leak) per ottenere i permessi di root.
La seconda giornata: 29 zero-day e 439.250 dollari
⬆ Torna suIl secondo giorno di Pwn2Own Automotive 2026 ha visto i ricercatori di sicurezza collezionare 439.250 dollari in premi. In questa sessione sono state sfruttate 29 vulnerabilità zero-day uniche.
Fuzzware.io ha mantenuto la leadership nella classifica con 213.000 dollari guadagnati dopo i primi due giorni. Sina Kheirkhah del Summoning Team ha ottenuto 40.000 dollari per aver compromesso il ricevitore di navigazione Kenwood DNR1007XR, il ChargePoint Home Flex e il ricevitore multimediale Alpine iLX-F511.
Anche Rob Blakely di Technical Debt Collectors e Hank Chen di InnoEdge Labs hanno ricevuto 40.000 dollari ciascuno per aver dimostrato catene di exploit zero-day contro Automotive Grade Linux e la stazione di ricarica Alpitronic HYC50.
Il processo di divulgazione delle vulnerabilità
⬆ Torna suLe vulnerabilità zero-day sfruttate e segnalate durante il contest Pwn2Own seguono un preciso processo di divulgazione. I vendor hanno 90 giorni di tempo per sviluppare e rilasciare patch di sicurezza.
Solo dopo questo periodo, l'iniziativa Zero Day Initiative di TrendMicro procede alla divulgazione pubblica delle falle. Questo meccanismo garantisce che le aziende possano mettere in sicurezza i propri prodotti prima che le vulnerabilità diventino di pubblico dominio.
Confronto con le edizioni precedenti
⬆ Torna suL'edizione 2026 di Pwn2Own Automotive segna un aumento significativo nel numero di zero-day scoperti rispetto agli anni passati. Durante il contest Pwn2Own Automotive 2024, gli hacker avevano dimostrato 49 zero-day bug, collezionando 1.323.750 dollari.
L'anno scorso, durante Pwn2Own Automotive 2025, i ricercatori di sicurezza avevano guadagnato 886.250 dollari dopo aver sfruttato 49 zero-day. Il totale di 76 vulnerabilità del 2026 rappresenta quindi un incremento notevole nell'attività di ricerca.
Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.
Fonti
⬆ Torna su- https://www.digital-forum.it/threads/pwn2own-automotive-2026-da-record-76-zero-day-e-la-sicurezza-delle-auto-sotto-esame.223309/
- https://www.bleepingcomputer.com/news/security/hackers-get-1-047-000-for-76-zero-days-at-pwn2own-automotive-2026/
- https://www.bleepingcomputer.com/news/security/hackers-exploit-29-zero-day-vulnerabilities-on-second-day-of-pwn2own-automotive/
In breve
- automotive
- hackers
- zero
- vulnerabilities