Hack Alerta

Pwn2Own Automotive: 76 zero‑days expõem riscos em EV chargers e infotainment

Por Redação Hack Alerta Publicado em 23/01/2026 10:02 Tendências Tempo de leitura: 3 min

Pwn2Own Automotive 2026 premiou 76 zero‑days com US$1.047.000, expondo falhas críticas em carregadores de EV e sistemas de infotainment. Exploits incluem out‑of‑bounds writes, buffer overflows e cadeias complexas que permitem execução remota e manipulação de sinais; ZDI coordenou divulgação junto a fabricantes.

Introdução A edição 2026 do Pwn2Own Automotive terminou com 76 vulnerabilidades demonstradas e prêmios que ultrapassaram US$1 milhão, revelando pontos fracos em carregadores de veículos elétricos e sistemas de infotainment.

Resumo dos resultados

O evento de três dias em Tóquio resultou em US$1.047.000 em premiações. Times como Fuzzware.io, Synacktiv e PetoWorks exploraram falhas que vão de buffer overflows a cadeias complexas que permitem execução remota ou manipulação de sinais em carregadores e sistemas embarcados.

Destaques técnicos

Entre as conquistas, foram relatados:

  • Exploração de out‑of‑bounds write em Alpitronic HYC50 (prêmio de US$60.000).
  • Cadeias envolvendo CWE-306/CWE-347 em carregadores Autel (execução de código e manipulação de sinais).
  • Explorações em unidades de infotainment (por exemplo, vetores USB em sistemas Tesla) permitindo leak de informação e escrita fora de limites.

Metodologias empregadas

Os participantes combinaram fuzzing avançado, análise estática/dinâmica de firmwares e depuração de módulos embarcados. Muitos ataques foram cadeias de várias vulnerabilidades (por exemplo, leak + OOB write) para obter escalonamento e controle persistente.

Implicações para a indústria automotiva

Vulnerabilidades em carregadores conectados e sistemas IVI (in‑vehicle infotainment) podem levar a consequências além do comprometimento do aparelho: em cenários adversos, interceptação ou manipulação de sinais em carregadores pode danificar infraestrutura de recarga ou permitir movimentos não autorizados de veículos. O evento reforça a necessidade de práticas rigorosas de segurança em cadeias de suprimento e de disclosure coordenado.

Divulgação e mitigação

O programa ZDI (Zero Day Initiative) e organizadores coordenaram a divulgação com fornecedores afetados para permitir correções antes de divulgação pública ampla. Vários dos alvos receberam avisos e foram disponibilizados detalhes técnicos para que fabricantes possam produzir patches ou mitigações de configuração.

O que falta nos relatos

As coberturas públicas descrevem muitas técnicas e bounties, mas não detalham inventários completos de versões afetadas nem calendários de patches específicos para cada fornecedor. Para equipes de segurança, isso significa acompanhar anúncios formais de fornecedores e aplicar atualizações assim que disponibilizadas.

Conclusão

O Pwn2Own Automotive 2026 demonstra que dispositivos embarcados em mobilidade e infraestrutura de recarga continuam vulneráveis a técnicas de exploração modernas. Organizações que gerenciam frotas, instalações de carga ou fornecem componentes para o ecossistema automotivo devem priorizar avaliação de firmware, respostas coordenadas a vulnerabilidades e teste contínuo (fuzzing) como parte do ciclo de desenvolvimento seguro.

Baseado em publicação original de Cyber Security News
Tags: #pwn2own #zero-day #ev-chargers #infotainment #zdi #fuzzing #autonomous #embedded #security
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar