【安全圈】打脸？特斯拉车载信息娱乐系统在 Pwn2Own 大赛被黑客快速攻破

关键词

服务器故障

在由趋势科技“零日漏洞计划”主办的年度Pwn2Own汽车安全破解大赛上，参赛团队围绕汽车软硬件安全漏洞展开挖掘，目前已有研究人员通过演示多款系统的漏洞，赢得数十万美元奖金。

其中，Synacktiv团队表现尤为突出。该团队利用信息泄露漏洞与越界写入漏洞，通过基于USB接口的攻击路径，成功攻陷特斯拉的信息娱乐控制单元。

凭借这一成果，该团队斩获3.5万美元奖金，同时也让人们对联网汽车面临的物理访问类漏洞风险的担忧进一步加剧。不过，特斯拉对此或许也会乐见其成。

特斯拉之所以会乐见其成，是因为早在2024年，其就已经奖励了Synacktiv 20万美元现金和一辆Model 3，以表彰他们演示了一系列攻击链。这些攻击本可能被恶意攻击者用来入侵特斯拉的CAN总线和ECU。

从理论上讲，这类高危漏洞足以让攻击者干预特斯拉汽车的多项核心系统，包括发动机与变速箱控制、电池管理、动力总成、悬架系统、车门及座椅控制、远程信息处理系统等。

同年，来自iOS应用开发公司Mysk的两名安全研究人员也演示了一种攻击手法：仅通过搭建一个伪造的WiFi登录页面，就能利用社会工程学手段，在理论上复制特斯拉汽车的手机应用钥匙并将其盗取。

2026年Pwn2Own汽车安全破解大赛于东京举办。在首日比赛中，参赛团队成功演示了37个独特漏洞，累计斩获 51.65万美元奖金。

尽管大赛中不少黑客团队都是通过攻克信息娱乐系统，实现对各类车辆的未授权访问，但这并非他们使用的唯一攻击路径。

例如，Fuzzware.io 团队成功破解了Autel的MaxiCharger 汽车充电桩，赢得5万美元奖金。此外，还有其他团队分别攻破了Phoenix Contact的充电连接器，以及Grizzl-E Smart智能充电桩。

一名研究人员近期警告称，电动汽车接入充电桩的过程，实际上会建立起一条数据链路，而这条链路可能被滥用于发起多种攻击。黑客可借此实施盗刷资金、窃取数据、盗取电力等操作，甚至能实现未授权控制，或直接瘫痪整个系统。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！