תחרות הסייבר הבינלאומית Pwn2Own Automotive 2026, שנפתחה השבוע במסגרת כנס Automotive World בטוקיו, הפכה לזירת התמודדות סוערת בין צוותי מחקר מכל העולם. מטרת Pwn2Own Automotive 2026 היא לחשוף ולבדוק פרצות אבטחה בכלי רכב חכמים ומערכות רכב מקושרות, כדי לשפר את בטיחות הסייבר של תעשיית הרכב לפני שתוקפים אמיתיים מנצלים אותן, לשם כך היא מציעה פרסים כספיים להאקרים מכל רחבי העולם שיצליחו למצוא פרצות.
כבר ביום הראשון זכו החוקרים בפרסים בשווי של יותר מחצי מיליון דולר, לאחר שהדגימו 37 פרצות אבטחה חדשות, בהיקף חסר תקדים בתעשיית הרכב החכמה.
אחת ההצלחות הבולטות הייתה של חברת האבטחה הצרפתית Synacktiv, שהצליחה לפרוץ למערכת הבידור של Tesla דרך חיבור USB פשוט. הצוות חשף שתי חולשות במערכת וזכה על כך בפרס של 35 אלף דולר. בנוסף, הם הצליחו לנצל שלוש פרצות נוספות כדי להשתלט גם על מערכת המדיה של Sony XAV‑9500ES.
לא רק טסלה נפגעה: חוקרי אבטחה מגרמניה הצליחו להשיג גישה מלאה למערכות אינפוטיינמנט של Alpine ו־Kenwood, באמצעות פרצות שביצעו (מסוג buffer overflow והרשאות קשיחות בקוד).
חזית נוספת שנפרצה היא תחום תשתיות הטעינה לרכב חשמלי. צוות בשם Fuzzware.io הגרמני גרף את הסכום הגבוה ביותר - 60 אלף דולר - לאחר שניצל חולשה במטען המהיר Alpitronic HYC50. צוותים נוספים הצליחו לחדור לתחנות של ChargePoint, Phoenix Contact ו־Grizzl‑E, תוך שימוש בפרצות דוגמת command injection, התנגשויות בתזמון ופרטי גישה קבועים מראש.
על פי תקנון התחרות, כל החולשות שנחשפו מועברות ליצרנים דרך מנגנון ה־Zero Day Initiative של חברת Trend Micro, מנגנון שמעניק ליצרנים פרק זמן של 90 יום לתיקון לפני פרסום הממצאים לציבור. נכון לעכשיו, Fuzzware.io מובילים את הדירוג הכללי עם זכיות מצטברות של יותר ממאה אלף דולר - והאירוע צפוי להמשיך גם בימים הקרובים עם יעדים נוספים ומאות אלפי דולרים בפרסים.
0 תגובות