文章总结： 2026年Pwn2Own大赛上，Synacktiv团队利用USB接口漏洞攻破特斯拉车载娱乐系统。同时多款智能充电桩也被攻破，这揭示了联网汽车及充电设施面临严重的物理访问与数据链路攻击风险，攻击者可借此控制车辆核心系统或窃取数据。 综合评分： 78 文章分类： 漏洞分析,渗透测试,车联网安全,安全大事件,IoT安全

【安全圈】打脸？特斯拉车载信息娱乐系统在 Pwn2Own 大赛被黑客快速攻破

安全圈

2026年1月26日 19:00 江苏

关键词

服务器故障

在由趋势科技“零日漏洞计划”主办的年度Pwn2Own 汽车安全破解大赛上，参赛团队围绕汽车软硬件安全漏洞展开挖掘，目前已有研究人员通过演示多款系统的漏洞，赢得数十万美元奖金。

其中，Synacktiv团队表现尤为突出。该团队利用信息泄露漏洞与越界写入漏洞，通过基于USB接口的攻击路径，成功攻陷特斯拉的信息娱乐控制单元。

凭借这一成果，该团队斩获3.5万美元奖金，同时也让人们对联网汽车面临的物理访问类漏洞风险的担忧进一步加剧。不过，特斯拉对此或许也会乐见其成。

特斯拉之所以会乐见其成，是因为早在2024年，其就已经奖励了Synacktiv 20万美元现金和一辆Model 3，以表彰他们演示了一系列攻击链。这些攻击本可能被恶意攻击者用来入侵特斯拉的CAN总线和ECU。

从理论上讲，这类高危漏洞足以让攻击者干预特斯拉汽车的多项核心系统，包括发动机与变速箱控制、电池管理、动力总成、悬架系统、车门及座椅控制、远程信息处理系统等。

同年，来自iOS应用开发公司Mysk的两名安全研究人员也演示了一种攻击手法：仅通过搭建一个伪造的WiFi登录页面，就能利用社会工程学手段，在理论上复制特斯拉汽车的手机应用钥匙并将其盗取。

2026年Pwn2Own汽车安全破解大赛于东京举办。在首日比赛中，参赛团队成功演示了37个独特漏洞，累计斩获 51.65万美元奖金。

尽管大赛中不少黑客团队都是通过攻克信息娱乐系统，实现对各类车辆的未授权访问，但这并非他们使用的唯一攻击路径。

例如，Fuzzware.io 团队成功破解了Autel的MaxiCharger 汽车充电桩，赢得5万美元奖金。此外，还有其他团队分别攻破了Phoenix Contact的充电连接器，以及Grizzl-E Smart智能充电桩。

一名研究人员近期警告称，电动汽车接入充电桩的过程，实际上会建立起一条数据链路，而这条链路可能被滥用于发起多种攻击。黑客可借此实施盗刷资金、窃取数据、盗取电力等操作，甚至能实现未授权控制，或直接瘫痪整个系统。

END

阅读推荐

【安全圈】Microsoft 365发生故障 影响全球用户

【安全圈】立讯精密遭黑客攻破，苹果、英伟达等绝密图纸恐曝光

【安全圈】3300 万条短信洞察：免密登录成黑客后门，数百万用户隐私裸奔

【安全圈】Cloudflare 零日漏洞：可绕过 WAF 访问全球任意后端主机

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】打脸？特斯拉车载信息娱乐系统在 Pwn2Own 大赛被黑客快速攻破》