Pwn2Own Automotive 2026 da record: 76 zero-day e la sicurezza delle auto sotto esame

Pwn2Own Automotive 2026 si è concluso a Tokyo con un montepremi complessivo di 1.047.000 dollari assegnato ai ricercatori che, nell'arco di tre giorni, sono stati capaci di dimostrare 76 vulnerabilità zero-day su componenti chiave dell'ecosistema automobilistico connesso, dalle unità di infotainment ai sistemi di ricarica per veicoli elettrici, fino alle piattaforme software di bordo.

L'edizione di quest'anno si è svolta dal 21 al 23 gennaio all'interno della fiera Automotive World, con l'obiettivo di mettere alla prova sistemi aggiornati e pienamente patchati, offrendo ai vendor una fotografia concreta del livello di esposizione delle auto moderne ad attacchi mirati.

Il format del contest, organizzato dalla Zero Day Initiative (ZDI) di Trend Micro, prevede che tutte le vulnerabilità sfruttate con successo restino sotto embargo fino a 90 giorni, periodo durante il quale i produttori coinvolti possono analizzare i report, sviluppare patch e distribuirle agli utenti finali prima della divulgazione pubblica dei dettagli tecnici.

Al centro delle attività di quest’anno ci sono stati sistemi di infotainment veicolare (IVI), colonnine di ricarica AC per uso domestico e pubblico e sistemi operativi automotive come Automotive Grade Linux, tutti target selezionati per rappresentare componenti critici delle architetture software-defined vehicle di nuova generazione

La classifica finale ha visto il team Fuzzware.io conquistare il titolo di “Master of Pwn” con un totale di 215.000 dollari in premi, davanti a Team DDOS, che ha chiuso con 100.750 dollari, e a Synacktiv, che si è fermato a 85.000 dollari, a conferma di una competizione molto serrata sia sul piano tecnico sia su quello dei punteggi.

Per Fuzzware.io una parte consistente del montepremi è arrivata dagli attacchi riusciti a diverse infrastrutture di ricarica: nel corso del contest, il gruppo ha dimostrato exploit contro la stazione Alpitronic HYC50, un caricatore Autel e l’unità di navigazione Kenwood DNR1007XR, a cui si sono aggiunte in seguito compromissioni del controller Phoenix Contact CHARX SEC‑3150, della wallbox ChargePoint Home Flex e della Grizzl‑E Smart 40A.

Nello specifico, secondo quanto riportato dagli organizzatori, Fuzzware.io ha inizialmente ottenuto 118.000 dollari per le dimostrazioni sul caricatore Alpitronic, su un dispositivo Autel e sul sistema Kenwood, cui si sono sommati altri 95.000 dollari per la compromissione del controller Phoenix Contact, della ChargePoint Home Flex e della Grizzl‑E Smart 40A, oltre a un ulteriore riconoscimento di 2.500 dollari legato a una collisione di bug durante un tentativo di rooting del ricevitore multimediale Alpine iLX‑F511.

Anche Team DDOS si è distinto nel segmento della ricarica, ottenendo 72.500 dollari per exploit riusciti su più colonnine Level 2, tra cui ChargePoint Home Flex, Autel MaxiCharger ed il caricatore Grizzl‑E Smart 40A, a conferma della particolare attenzione riservata nel contest all'infrastruttura di ricarica domestica e semi‑pubblica per veicoli elettrici.

Le ricerche condotte durante la competizione hanno messo in luce come le colonnine, spesso considerate semplici "accessori", siano in realtà nodi di rete complessi, con capacità di eseguire codice e interfacciarsi direttamente con il veicolo, rendendo possibili scenari di attacco che vanno dalla manipolazione dei parametri di ricarica fino all'eventuale pivot verso altri sistemi connessi.

Un altro fronte particolarmente visibile è stato quello dei sistemi di infotainment, dove diversi vendor sono stati presi di mira; tra gli episodi di maggiore rilievo viene citata la dimostrazione di Synacktiv, che ha guadagnato 35.000 dollari concatenando una vulnerabilità di tipo out-of-bounds write con una fuga di informazioni per compromettere, via USB, l'infotainment Tesla, ottenendo esecuzione di codice sull’unità target.

Secondo la documentazione della ZDI, le catene di exploit presentate nel corso dei tre giorni hanno toccato non solo Tesla ma anche sistemi Sony, Alpine e altri fornitori di IVI, con attacchi che spesso hanno combinato più bug logici e di memoria per aggirare sandbox, meccanismi di isolamento e controlli di integrità delle piattaforme di bordo.

Nel complesso, Pwn2Own Automotive 2026 ha registrato un numero di zero-day superiore rispetto alle due edizioni precedenti dedicate al settore auto: nel 2024 i ricercatori avevano totalizzato 49 vulnerabilità per un montepremi di circa 1,32 milioni di dollari, mentre nel 2025, a parità di numero di bug, gli importi complessivi si erano fermati a 886.250 dollari.

Il salto a 76 zero-day nel 2026 evidenzia l’ampliamento del perimetro tecnologico coperto dal contest e, al tempo stesso, la capacità delle squadre partecipanti di individuare vulnerabilità in componenti eterogenei, dal firmware di dispositivi embedded alle implementazioni di protocolli di comunicazione utilizzati tra auto, charger e backend cloud.

Al termine dell’evento, gli organizzatori hanno sottolineato come il valore principale di iniziative come Pwn2Own resti la possibilità di trasformare attività di exploit altamente specializzate in percorsi di remediation coordinata, grazie a un processo strutturato che dal palco del contest porta patch e aggiornamenti nelle mani degli utenti finali prima che gli stessi bug possano essere sfruttati in scenari reali.