Pwn2Own Automotive 2025 黑客因破解 49 个零日漏洞获 886,250 美元奖励

Pwn2Own Automotive 2025 黑客大赛已结束，安全研究人员在利用 49 个零日漏洞后获得了 886,250 美元的奖金。

在整个活动期间，他们瞄准汽车软件和产品，包括电动汽车（EV）充电器、汽车操作系统（即 Android Automotive OS、Automotive Grade Linux 和 BlackBerry QNX）以及车载信息娱乐（IVI）系统。

根据 Pwn2Own Tokyo 2025竞赛规则，所有目标设备都运行最新的操作系统版本并安装了所有安全更新。

虽然特斯拉也提供了基于 Ryzen 的 Model 3/Y 等效台式机，但参加竞赛的安全研究人员仅针对该公司的 Wall Connector 充电器进行了尝试。

参赛者在第一天演示了 16 个独特的零日漏洞，获得了 382,750 美元的现金奖励；在第二天利用了 23 个零日漏洞并两次入侵特斯拉电动汽车充电器，获得了 335,500 美元的现金奖励。在Pwn2Own 的第三天，他们又演示了 10 个零日漏洞，获得了 168,000 美元的现金奖励。

在 Pwn2Own 活动期间演示并报告零日漏洞后，供应商有 90 天的时间发布安全补丁，之后趋势科技的零日漏洞计划才会公开披露这些补丁。

Summoning Team 的 Sina Kheirkhah在入侵多个电动汽车充电器和车载信息娱乐 (IVI) 系统后，以 30.5 个 Pwn 大师积分赢得了今年的Pwn2Own Automotive 2025 冠军，并获得 222,250 美元的现金奖励。

Synacktiv 获得第二名，奖金 147,500 美元，PHP Hooligans 获得 110,000 美元，fuzzware.io 将获得 68,750 美元，而 Viettel Cyber Security 凭借在比赛三天内演示的零日漏洞获得了 53,750 美元的奖金。

Pwn2Own Automotive 2025 最后一天每个挑战的结果以及最终结果可以在这里找到。

在 2024 年 1 月举行的首届 Pwn2Own Automotive 比赛中，安全研究人员展示了多个电动汽车系统中的 49 个零日漏洞并两次入侵了一辆特斯拉汽车，从而获得了 1,323,750 美元的奖金。

两个月后，在Pwn2Own Vancouver 2024竞赛期间，ZDI 又为 29 个零日漏洞颁发了 1,132,500 美元奖金。Synacktiv 在 30 秒内利用车辆 (VEH) CAN 总线控制破解了其 ECU，获得了 200,000 美元奖金和一辆特斯拉 Model 3。

来源：https://www.bleepingcomputer.com/news/security/hackers-get-886-250-for-49-zero-days-at-pwn2own-automotive-2025/