Pwn2Own Automotive 2026落幕,電動車充電樁成最大攻擊面
競賽概況與成果
由趨勢科技(Trend Micro)旗下Zero Day Initiative(ZDI)主辦的Pwn2Own Automotive 2026,於日本東京Automotive World結束。為期三天的競賽共揭露76個獨立零日漏洞,發出總獎金104.7萬美元,吸引來自全球的資安研究團隊,共提交73次攻擊嘗試,規模創下汽車主題Pwn2Own新高。
電動車充電樁成為最大攻擊面
根據ZDI在這3天所公佈的成功攻擊案例,電動車充電樁類別合計34件,高於一般IVI系統的28件,成為本屆競賽中最密集的攻擊面。
關鍵攻擊案例與參與團隊
- 特斯拉資訊娛樂USB攻擊:多個團隊針對特斯拉車載資訊娛樂系統(IVI)展開攻擊,顯示車載系統的潛在風險。
- Juurin Oy團隊:展現高超攻擊技巧,利用特定漏洞對電動車充電系統進行攻擊。
- Synacktiv團隊:在最後一天成功針對電動車充電器進行7次攻擊嘗試,最終贏得Pwn大師頭銜,並持續守住領先地位。
合作夥伴與產業影響
特斯拉與充電樁大廠Alpitronic成為本屆競賽的冠名贊助商,Alpitronic將提供其高功率充電系統作為正式攻擊目標,開放充電聯盟(Open Charge Alliance)則提供相關基礎設施支援,強化電動車與充電基礎設施的網路安全。
專家觀點
趨勢科技威脅研究副總裁Brian Gorenc表示:「隨著車輛被軟體定義程度日益提高,每個介面都成為潛在攻擊面,包括車子插上的充電樁。這個針對連網車的競賽加速了產業對網路安全的重視與回應。」