Tesla Infotainment System Hacked: 37 Zero-Day Vulnerabilità Scoperte al Pwn2Own Automotive 2026
Ricercatori sicurezza hanno sfruttato 37 zero-day nel sistema Tesla, guadagnando $516.500 alla competizione Pwn2Own Automotive 2026 a Tokyo.
Contenuto
Scopri anche
- Pwn2Own Automotive 2026: Record di 76 Zero-Day Colpiscono la Sicurezza Veicolare
- Cisco corregge vulnerabilità RCE zero-day nei prodotti Unified Communications
- Pwn2Own Automotive 2026: 37 Zero-Day Scoperti nel Primo Giorno
- Patch Tuesday gennaio 2026: Microsoft corregge vulnerabilità zero-day già sfruttata
- Apple iOS 26.2: Patch Urgente per Due Zero-Day in WebKit
Tesla Infotainment System Hacked: 37 Zero-Day Vulnerabilità Scoperte al Pwn2Own Automotive 2026
Il sistema di infotainment Tesla è stato violato da ricercatori della sicurezza durante il primo giorno del Pwn2Own Automotive 2026. L'evento, incentrato sulle tecnologie automotive, ha visto l'esposizione di 37 vulnerabilità zero-day con premi totali di $516.500.
Il successo del Team Synacktiv contro Tesla
⬆ Torna suIl Synacktiv Team ha ottenuto $35.000 per aver compromesso il Tesla Infotainment System. L'attacco si è basato su una combinazione di informazioni leakage e una vulnerabilità di scrittura fuori dai limiti per ottenere permessi root attraverso una categoria di attacco USB-based.
Lo stesso team ha anche concatenato tre vulnerabilità per ottenere l'esecuzione di codice a livello root sul ricevitore multimediale digitale Sony XAV-9500ES, guadagnando un ulteriore premio di $20.000.
Altri obiettivi colpiti nella competizione
⬆ Torna suIl team Fuzzware.io ha collezionato $118.000 violando una stazione di ricarica Alpitronic HYC50, un caricatore Autel e un ricevitore di navigazione Kenwood DNR1007XR. PetoWorks ha ricevuto $50.000 per aver concatenato tre zero-day e ottenere privilegi root su un controller di ricarica Phoenix Contact CHARX SEC-3150.
Team DDOS ha guadagnato $72.500 compromettendo il ChargePoint Home Flex, l'Autel MaxiCharger e la stazione di ricarica veicoli Grizzl-E Smart 40A.
Programma dei prossimi tentativi
⬆ Torna suDurante il secondo giorno di Pwn2Own, il Grizzl-E Smart 40A sarà bersaglio di quattro team, mentre l'Autel MaxiCharger sarà preso di mira tre volte. Due team tenteranno di ottenere l'accesso root sul ChargePoint Home Flex, con ogni tentativo riuscito che frutterà $50.000.
Team Fuzzware.io tenterà inoltre di violare il caricatore veicoli Phoenix Contact CHARX SEC-3150 per un premio di $70.000.
Tempistiche per le patch di sicurezza
⬆ Torna suI vendor hanno 90 giorni di tempo per sviluppare e rilasciare correzioni di sicurezza prima che TrendMicro's Zero Day Initiative renda pubbliche le vulnerabilità. Questo processo segue lo sfruttamento e la segnalazione delle zero-day durante il contest Pwn2Own.
Contesto della competizione Pwn2Own Automotive
⬆ Torna suPwn2Own Automotive 2026 si tiene questa settimana a Tokyo, Giappone, durante la conferenza Automotive World dal 21 al 23 gennaio. La competizione si concentra su tecnologie automotive, inclusi sistemi di infotainment completamente patchati, caricatori per veicoli elettrici e sistemi operativi automobilistici.
L'edizione Pwn2Own Automotive 2025 si è conclusa con hacker che hanno collezionato $886.250 dopo aver sfruttato 49 vulnerabilità zero-day. Durante il primo contest automobilistico nel 2024, sono stati assegnati $1.323.750 dopo la dimostrazione di 49 zero-day in multiple sistemi di auto elettriche, inclusi due hack di Tesla.
Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.
Fonti
⬆ Torna su- https://www.bleepingcomputer.com/news/security/tesla-hacked-37-zero-days-demoed-at-pwn2own-automotive-2026/
- https://digg.com/cybersec/9ibbTM1/tesla-hacked-37-zero-days-unveiled
- https://me.pcmag.com/en/security/34835/teslas-infotainment-system-quickly-hacked-at-security-conference
In breve
- pwn2own
- zero
- hacked
- infotainment