Подведены итоги трёх дней соревнований Pwn2Own Automotive 2026, проведённых на конференции Automotive World в Токио. На соревнованиях были продемонстрированы 76 ранее неизвестных уязвимостей (0-day) в автомобильных информационно-развлекательных платформах, операционных системах и устройствах зарядки электромобилей. При проведении атак использовались самые свежие прошивки и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию.

Суммарный размер выплаченных вознаграждений составил 1 миллион 47 тысяч долларов США. Наиболее успешная команда Fuzzware.io сумела заработать на соревнованиях 213 тысячи долларов США. Обладатели второго места (Team DDOS) получили 95 тысяч долларов, а третьего (Synacktiv) - 85 тысяч долларов.

В ходе соревнований продемонстрированы следующие атаки:

• Взлом окружения на базе дистрибутива Automotive Grade Linux ($4000 за эксплуатацию цепочки из трёх уязвимостей, связанных с чтением из области вне буфера, исчерпанием свободной памяти и переполнением буфера).
• 12 взломов информационно-развлекательной системы на базе платформы Alpine iLX-511 ($20000, 2 по $10000 и $5000 за эксплуатацию уязвимостей, приводящих к переполнению буфера; $10000, 2 по $5000 и 4 по $2500 за уязвимость, позволяющую получить доступ к опасному методу; $10000 за уязвимость, приводящую к подстановке команд).
• 12 взломов информационно-развлекательной системы Kenwood DNR1007XR ($20000 и $10000 за уязвимости, вызванные переполнением буфера; $8000 за эксплоит, использующий ранее известную, но не устранённую проблему с жёстко прописанными учётными данными, в сочетании с некорректными правами доступа к важному ресурсу и уязвимостью, приводящую к подстановке команд; $4000 за эксплоит, использующий ранее известные, но не устранённые проблемы с состоянием гонки и некорректными правами доступа; $8000 и 3 по $2500 за эксплуатацию уже известной уязвимости, оставшейся неисправленной; $8000 за эксплуатацию цепочки из 3 уязимостей - жёстко прописанные учётными данными, некорректно выставленные права доступа и отсутствие проверки символической ссылки; $6000, $5000 и $4000 за уязвимости, приводящие к подстановке команд).
• 4 взлома информационно-развлекательной системы Sony XAV-9500ES ($20000 за эксплоит, использующий цепочку из трёх ошибок; 3 по $10000 за эксплуатацию выхода за границу буфера).
• Взлом информационно-развлекательной системы автомобиля Tesla при подключении через USB-порт ($35000 за эксплоит, использующий утечку информации и переполнение буфера).
  
  
  
• 10 взломов зарядной станции Grizzl-E Smart 40A ($40000 за выявление жёстко прописанных в прошивке учётных данных и отсутствие проверки целостности загружаемого кода; $25000 и $10000 за уязвимость, приводящую к обходу аутентификации; $10000 за уязвимость, приводящую к переполнению буфера; $22500, $20000, 3 по $15000 и $5000 за эксплоиты, использующие цепочки из 3 или 2 ошибок).
• 7 взломов зарядной станции Phoenix Contact CHARX SEC-3150 ($50000 за эксплоит, использующий подстановку команд и состояние гонки; $50000, $20000 $19250 и $6750 за эксплоиты, использующие цепочки из 3, 5 и 6 ошибок; $20000 за эксплуатацию уязвимостей, позволивших обойти аутентификацию и повысить свои привилегии; $15000 за эксплоит, использующий цепочку из 3 ошибок).
• 4 взлома зарядной станции Autel MaxiCharger AC Elite Home 40A ($50000, $20000 и $10000 за уязвимости, позволившие обойти аутентификацию и проверку цифровой подписи; $30000 за уязвимость, приводящую к переполнению буфера).
• 4 взлома зарядной станции ChargePoint Home Flex CPH50-K ($40000, 2 по $30000 и $16750 за уязвимости, допускающие подстановку команд, и отсутствие должной обработки символических ссылок).
• 4 взлома зарядной станции Alpitronic HYC50 ($60000 за эксплуатацию уязвимости, приводящей к переполнению буфера; $40000 за уязвимость, позволяющую получить доступ к опасному методу; $20000 за уязвимость, вызванную состоянием гонки; $20000)

Кроме вышеотмеченных успешных атак, 9 попыток эксплуатации уязвимостей завершились неудачей, во всех случаях из-за того, что команды не успели уложиться в отведённое для атаки ограниченное время. Неудачными оказались попытки взлома устройств Kenwood DNR1007XR, Alpine iLX-F511, Autel MaxiCharger AC Elite Home 40A, EMPORIA Pro Charger Level 2, ChargePoint Home Flex, Sony XAV-9500ES и Grizzl-E Smart 40A.

В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.