Pwn2Own Automotive 2026落幕，電動車充電樁成最大攻擊面

由趨勢科技（Trend Micro）旗下Zero Day Initiative（ZDI）主辦的Pwn2Own Automotive 2026，日前於日本東京Automotive World結束。為期三天的競賽共揭露76個獨立零日漏洞，發出總獎金104.7萬美元，吸引來自全球的資安研究團隊，共提交73次攻擊嘗試，規模創下汽車主題Pwn2Own新高。

本屆比賽項目涵蓋車載資訊娛樂系統（In-Vehicle Infotainment，IVI）、特斯拉（Tesla）資訊娛樂USB實體攻擊、電動車Level 2與Level 3充電樁，以及車用作業系統Automotive Grade Linux，受測對象均為實際商用產品，反映汽車與充電生態在高度軟體化下的真實攻擊面。

根據ZDI在這3天所公布的成功攻擊案例，電動車充電樁類別合計34件，高於一般IVI系統的28件，成為本屆競賽中最密集的攻擊面。另外，特斯拉資訊娛樂USB攻擊與Automotive Grade Linux各有一次成功的攻擊案例。

充電樁的成功案例分布於Autel、ChargePoint、Phoenix Contact、Grizzl-E與Alpitronic等多個品牌與型號，顯示充電樁不僅數量多，且在不同設備上反覆出現可被利用的弱點。相關攻擊涵蓋系統層控制、韌體更新機制與充電通訊訊號操控。研究人員不僅能取得管理權限，還可干預充電流程，甚至在設備上執行任意程式，顯示充電樁一旦被入侵，風險已從單一設備擴及整體充電基礎設施。

至於IVI的攻擊多集中於媒體解析與系統服務層，例如USB、藍牙或檔案處理流程中的緩衝區溢位、命令注入與權限提升。研究人員可藉此取得車機的程式碼執行權限，但影響通常侷限於資訊娛樂系統本身。相較充電樁，IVI風險較偏向隱私與系統完整性，而非直接影響車輛或基礎設施運作。

此次第一名的隊伍為來自歐洲的Fuzzware.io團隊，該團隊取得了28分的成績，抱走21.5萬美元的獎金；第二名則是跨國團隊Team DDOS，拿到17.25分的成績與約10萬美元的獎金；第三名的Synacktiv為法國資安公司，雖然只帶走8.5萬美元的獎金，卻是唯一透過USB攻陷特斯拉資訊娛樂系統的團隊。