Pwn2Own Automotive 2026 - 첫날 결과
Pwn2Own Automotive 2026의 첫째 날이 최신 자동차 시스템을 대상으로 한 30개의 참가로 시작되었으며, 최고의 연구자들이 발견한 익스플로잇과 보안 돌파구가 선보였습니다. 이번 대회는 다양한 카테고리에서 상당한 성공을 거두었으며, 특히 차량 내 인포테인먼트(IVI) 시스템과 전기차 충전기를 대상으로 한 공격에서 두각을 나타냈습니다. Neodyme AG와 Synacktiv를 포함한 여러 팀은 버퍼 오버플로우 및 체이닝 익스플로잇과 같은 취약점을 통해 Alpine iLX-F511 및 Sony XAV-9500ES와 같은 IVI 장치에 루트 레벨 접근 권한을 성공적으로 획득했습니다. EV 충전기는 수익성 있는 타겟으로 입증되었으며, Fuzzware.io, PetoWorks 등은 충전 신호를 조작하거나 Autel 충전기 및 Phoenix Contact CHARX SEC-3150과 같은 장치에서 코드 실행을 달성했으며, 종종 여러 버그를 체이닝했습니다. 특히 Grizzl-E Smart 40A 충전기는 SKShieldus가 하드코딩된 자격 증명과 인증 우회를 사용하여 원격 코드 실행을 달성하는 등 여러 번 성공적으로 익스플로잇되었습니다. Kenwood DNR1007XR에 대한 초기 익스플로잇과 EMPORIA Pro 충전기에 대한 Fuzzware.io의 시도와 같이 일부 시도는 실패로 끝났습니다. 그러나 다른 연구자들은 명령 주입 및 아웃 오브 바운드 쓰기를 통해 Kenwood 장치를 신속하게 익스플로잇했습니다. 이번 대회에는 여러 팀이 동일하거나 유사한 취약점을 익스플로잇하여 보상과 Master of Pwn 포인트를 분할하는 성공적인 충돌도 포함되었습니다. Synacktiv는 USB 기반 공격을 통해 정보 유출과 아웃 오브 바운드 쓰기를 체이닝하여 Tesla Infotainment 카테고리에서 완전한 승리를 거두었습니다. 전반적으로 이날은 현대 자동차 및 충전 인프라 구성 요소의 중요한 취약점을 보여주는 수많은 성공적인 익스플로잇으로 특징지어졌습니다.