Этичные хакеры нашли 76 уязвимостей на Pwn2Own

На третьем ежегодном соревновании Pwn2Own Automotive было обнаружено 76 уникальных уязвимостей нулевого дня. Мероприятие прошло в рамках выставки Automotive World в Токио. Участники тестировали различные системы — от мультимедийных комплексов Tesla до зарядных станций для электромобилей.

В 2025 году на конкурс поступило рекордное количество заявок. Всего было зарегистрировано 73 участника. Не все попытки взлома оказались успешными. Тем не менее победителям выплатили более $1 млн.

На соревнования этичные хакеры и эксперты по информационной безопасности заранее подают заявки с описанием планируемых эксплойтов. Во время соревнования кибербезспециалисты должны продемонстрировать взлом за ограниченный период времени. За успешные попытки участники получают денежные призы и баллы. Размер вознаграждения зависит от уникальности уязвимости, её потенциального воздействия и сложности эксплуатации.

Самую крупную выплату за единичный эксплойт получили три исследователя из компании Fuzzware.io. Команда заработала $60 тыс. и шесть баллов в первый день соревнований. Специалисты использовали уязвимость записи за пределами буфера в зарядной станции Alpitronic HYC50.

Специалисты использовали уязвимость типа Time-of-Check to Time-of-Use и установили на экран зарядного устройства играбельную версию игры Doom. За это они получили $20 тыс. Третья команда тоже атаковала HYC50 через незащищённый опасный метод в системе зарядного устройства.

Команда Synacktiv полностью взяла под контроль мультимедийную систему Tesla. Исследователи объединили утечку информации с уязвимостью записи за пределами буфера. Специалисты также скомпрометировали операционную систему Automotive Grade Linux через три различные уязвимости. Организаторы рассчитывают, что все производители оперативно устранят обнаруженные проблемы безопасности.