Pwn2Own Automotive 2026の最終日では、世界屈指のセキュリティ研究者たちが、見事なハッキング技術を披露しながら競技のゴールへと到達しました。
3日間にわたる熾烈な競争の中で、研究者たちは自動車システム全体で76件のユニークなゼロデイ脆弱性の特定と悪用に成功し、賞金総額は1,047,000米ドルに達しました。
大会は、Fuzzware.ioのTobias Scharnowski氏、Felix Buchmann氏、Kristian Covic氏をMaster of Pwnチャンピオンに輝かせました。彼らは複数の車載インフォテインメントおよび充電システムを標的とした高度なエクスプロイトにより、28ポイントと215,500米ドルを獲得しました。
主要な脆弱性の発見
ZeroDay Initiativeの研究者は、競技を通じて多様な種類の脆弱性を実証しました。
発見の中心となったのはバッファオーバーフロー脆弱性で、スタックベースおよびヒープベースのオーバーフローの両方のエクスプロイトが、任意コード実行の達成に成功しました。
特に、Viettel Cyber SecurityはSony XAV-9500ESにおけるヒープベースのバッファオーバーフローを悪用してシステム制御を獲得し、DDOSチームはAlpineのインフォテインメントシステムにおけるスタックベースのオーバーフローを実証しました。
最も創造的なエクスプロイトの1つはJuurin Oyのチームによるもので、Time-Of-Check-Time-Of-Use(TOCTOU)の競合状態(レースコンディション)脆弱性を用いて、Alpitronic HYC50 EV充電器を侵害しました。
同チームは20,000米ドルとMaster of Pwnポイント4点を獲得し、完全なコード実行能力を示すため、侵害したシステム上にプレイ可能なDoomのバージョンをインストールしたことでも知られています。
本大会では、Alpine、Kenwood、Sonyのインフォテインメントシステム、Grizzl-EおよびAutelのEV充電ステーション、そして特殊な車載インターフェースなど、重要な自動車コンポーネント全体にわたる脆弱性が明らかになりました。
権限割り当ての不備や競合状態も、従来のメモリ破壊バグに加えて重要な攻撃ベクトルとして浮上しました。
明らかになった76件の脆弱性は、自動車業界全体のセキュリティ改善を推進する重要な発見を示しています。
インフォテインメントの先駆者からEV充電の専門企業に至るまで、影響を受けたメーカーの多様性は、コネクテッド・ビークルのエコシステムにおいて強化されたセキュリティ対策が広く必要であることを浮き彫りにしています。
本大会は、自動車システムが高度な研究者にとって依然として魅力的な標的であり、多額の報酬が継続的なセキュリティ研究と責任ある脆弱性開示を後押ししていることを示しました。
これらの発見は、協調的な脆弱性管理とパッチ適用の取り組みを通じて、自動車分野の防御態勢を強化するでしょう。
翻訳元: https://gbhackers.com/76-zero-day-vulnerabilities-exposed-at-pwn2own-automotive/
