No primeiro dia do Pwn2Own Automotive 2025, em Tóquio, especialistas em segurança cibernética expuseram 16 vulnerabilidades inéditas, arrecadando mais de R$ 1,9 milhão em prêmios. O evento, focado em tecnologias automotivas, inclui categorias como carregadores de veículos elétricos (VE) e sistemas de infoentretenimento veicular (IVI).
Vulnerabilidades no Pwn2Own 2025
Destaques do evento
- Fuzzware.io: Líder da competição, a equipe hackeou carregadores Autel MaxiCharger e Phoenix Contact CHARX SEC-3150 por meio de um estouro de buffer e um erro de validação de origem. Resultado? R$ 250 mil e 10 pontos Master of Pwn.
- Sina Kheirkhah (Summoning Team): Usando um bug de chave criptográfica codificada e três dias zero combinados, a equipe obteve R$ 457 mil e 9,25 pontos ao comprometer carregadores Ubiquiti e Phoenix Contact CHARX SEC-3150.
- Synacktiv: Com um ataque no protocolo OCPP, comprometeram o ChargePoint Home Flex por meio de manipulação de sinal e garantiram R$ 287 mil.
- PHP Hooligans: Exploraram um estouro de buffer baseado em heap em um carregador Autel corrigido, recebendo R$ 250 mil.
- Viettel Cybersecurity: Conquistaram R$ 100 mil ao comprometer o sistema de infoentretenimento Kenwood IVI com uma injeção de comando do sistema operacional.
Impacto e cronograma de correções
Todas as vulnerabilidades identificadas serão relatadas aos fornecedores, que têm 90 dias para corrigir os bugs antes da divulgação pública pela Zero Day Initiative da TrendMicro.
Notícias Relacionadas
Segurança automotiva
Especialistas revelam falhas no sistema MBUX da Mercedes-Benz
Pesquisadores identificaram vulnerabilidades no sistema MBUX da Mercedes-Benz, destacando riscos de acesso físico e controle de funções críticas. Entenda as ameaças e falhas descobertas.
Vulnerabilidades descobertas
Vulnerabilidades em protocolos de tunelamento afetam 4,2 milhões de hosts
Pesquisa revela falhas de segurança em protocolos de tunelamento, expondo 4,2 milhões de hosts, incluindo VPNs e roteadores. A exploração pode resultar em ataques anônimos e DoS.
Histórico de sucessos no Pwn2Own
O evento, conhecido por impulsionar inovações em segurança automotiva, já revelou dezenas de vulnerabilidades críticas. Em 2024, na edição inaugural do Pwn2Own Automotive, foram pagos mais de R$ 6,5 milhões em prêmios. No mesmo ano, durante o Pwn2Own Vancouver, hackers exploraram 29 dias zero, com prêmios chegando a R$ 5,6 milhões.
Para mais informações sobre o cronograma e resultados do evento, acesse os detalhes completos da competição no site oficial do Pwn2Own 2025.
