文章总结： 在2026年Pwn2Own汽车大赛中，Synacktiv团队利用信息泄露及越界写入漏洞，通过USB接口成功攻陷特斯拉车载娱乐系统，获得奖金。此外，多款智能充电桩也被攻破。此类物理访问漏洞虽获厂商奖励，但理论上可危及CAN总线与ECU控制，导致核心系统被劫持，且充电过程存在数据链路滥用风险。 综合评分： 70 文章分类： 车联网安全,漏洞分析,实战经验,红队,漏洞POC

特斯拉车载信息娱乐系统在 Pwn2Own 大赛上被黑客快速攻破

HackerNews HackerNews

安全威胁纵横

2026年1月23日 14:44 湖北

高危漏洞

紧急修复指南

RCE Patch

在由趋势科技“零日漏洞计划”主办的年度Pwn2Own汽车安全破解大赛上，参赛团队围绕汽车软硬件安全漏洞展开挖掘，目前已有研究人员通过演示多款系统的漏洞，赢得数十万美元奖金。

推测e

2026年Pwn2Own汽车安全破解大赛于东京举办。在首日比赛中，参赛团队成功演示了37个独特漏洞，累计斩获 51.65万美元奖金。

例如，Fuzzware.io 团队成功破解了Autel的MaxiCharger汽车充电桩，赢得5万美元奖金。此外，还有其他团队分别攻破了Phoenix Contact的充电连接器，以及Grizzl-E Smart智能充电桩。

其中，Synacktiv团队利用信息泄露漏洞与越界写入漏洞，通过基于USB接口的攻击路径，成功攻陷特斯拉的车载信息娱乐控制系统。

凭借这一成果，该团队斩获3.5万美元奖金，同时也让人们对联网汽车面临的物理访问类漏洞风险的担忧进一步加剧。不过，特斯拉对此或许也会乐见其成。

早在2024年，特斯拉就已经奖励了Synacktiv 20万美元现金和一辆Model 3，以表彰他们演示了一系列攻击链。这些攻击本可能被恶意攻击者用来入侵特斯拉的CAN总线和ECU。

从理论上讲，这类高危漏洞足以让攻击者干预特斯拉汽车的多项核心系统，包括发动机与变速箱控制、电池管理、动力总成、悬架系统、车门及座椅控制、远程信息处理系统等。

同年，来自iOS应用开发公司Mysk的两名安全研究人员也演示了一种攻击手法：仅通过搭建一个伪造的WiFi登录页面，就能利用社会工程学手段，在理论上复制特斯拉汽车的手机应用钥匙并将其盗取。

尽管Pwn2Own大赛中，不少黑客团队都是通过攻克车载信息娱乐系统，实现对各类车辆的未授权访问，但这并非他们使用的唯一攻击路径。

一名研究人员近期警告称，电动汽车接入充电桩的过程，实际上会建立起一条数据链路，而这条链路可能被滥用于发起多种攻击。黑客可借此实施盗刷资金、窃取数据、盗取电力等操作，甚至能实现未授权控制，或直接瘫痪整个系统。

转载请注明出处@安全威胁纵横，封面来源于网络；

消息来源：https://cybernews.com/security/tesla-infotainment-system-hacked/

更多网络安全视频，请关注视频号“知道创宇404实验室”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全威胁纵横 HackerNews HackerNews《特斯拉车载信息娱乐系统在 Pwn2Own 大赛上被黑客快速攻破》