Mit Sicherheitslücken in Autos: Pwn2Own-Hacker gewinnen 1.047.000 US-Dollar
Der von der Zero Day Initiative (ZDI) von Trend Micro organisierte Hackerwettbewerb Pwn2Own Automotive 2026 ist beendet. Zusammen nutzen die Teilnehmer bei der in Tokio abgehaltenen Veranstaltung 76 Zero-Day-Lücken aus, um Produkte aus dem Automotive-Segment wie Infotainmentsysteme und E-Auto-Lader zu hacken. Die ausgeschütteten Preisgelder liegen in Summe bei mehr als einer Million US-Dollar, konkret 1.047.000 US-Dollar.
Schon am ersten Tag gab es zahlreiche erfolgreiche Angriffe auf mehrere Infotainment- und Ladesysteme für E-Autos. Eines der Teams knackte auch erfolgreich das Infotainmentsystem eines Teslas. Mit 516.500 US-Dollar für die Ausnutzung von 37 Zero-Day-Lücken entfiel knapp die Hälfte der Gewinne auf den ersten Veranstaltungstag.
An Tag 2 gewannen die Pwn2Own-Teilnehmer laut Blogbeitrag der ZDI(öffnet im neuen Fenster) nochmals 439.250 US-Dollar und steuerten weitere 29 Zero-Day-Lücken bei. Der letzte der drei Veranstaltungstage(öffnet im neuen Fenster) fiel hingegen deutlich knapper aus und brachte den Teilnehmern nur noch 91.250 US-Dollar für die Ausnutzung von zehn weiteren Sicherheitslücken ein.
Top-Teams behalten die Führung
Die beiden führenden Teams verteidigten ihre Spitzenplatzierungen des ersten Tages erfolgreich. Auf Platz 1 steht weiterhin das Team Fuzzware.io mit 28 Punkten und einem Gewinn in Höhe von 215.000 US-Dollar. Damit verdoppeltte das Team seine Prämien von Tag 1 nochmals beinahe – unter anderem durch erfolgreiche Angriffe auf eine Phoenix Contact AC-Ladesteuerung, einen Chargepoint Home Flex (CPH50-K) und einen Grizzl‑E-Smart-Lader.
Auch das zweitplatzierte Team DDOS steht mit 17,25 Punkten und 100.750 US-Dollar am Ende weiterhin auf dem Podest. Das Team attackierte nach dem ersten Tag noch erfolgreich zwei Infotainmentsysteme von Kenwood (DNR1007XR) und Alpine (iLX‑F511) sowie die Ladesteuerung Phoenix Contact CHARX SEC-3150.
Details kommen später
Auf den Plätzen 3 bis 5 folgen die Teams Synacktiv (85.000 US-Dollar), Petoworks (62.500 US-Dollar) und Summoning Team (40.000 US-Dollar). Wie bei Pwn2Own-Veranstaltungen üblich, werden technische Details zu den insgesamt 76 ausgenutzten Zero-Day-Lücken vorerst unter Verschluss gehalten, um den Herstellern Zeit einzuräumen, diese zu patchen.
Die Pwn2Own Automotive in Tokio war die bislang dritte Pwn2Own-Veranstaltung mit speziellem Fokus auf das Automotive-Segment. Erstmals wurde die Veranstaltung im Januar 2024 abgehalten, damals mit 1.323.750 US-Dollar an ausgeschütteten Preisgeldern. Bei der zweiten Pwn2Own Automotive Anfang 2025(öffnet im neuen Fenster) gewannen die Teilnehmer zusammen nur 886.250 US-Dollar. Die Pwn2Own Automotive 2026 reiht sich damit im Hinblick auf die gewonnenen Preisgelder in der Mitte ein.