Pwn2Own Automotive 2025: 49 vulnerabilità zero-day fruttano ai ricercatori ricompense totali per oltre 886 mila dollari

L'edizione 2025 del concorso di hacking etico Pwn2Own Automotive si è conclusa con un monte ricompense complessivo di 886.250 dollari che i ricercatori si sono portati a casa dopo aver individuato e sfruttato 49 vulnerabilità 0-day in vari sistemi e software del mondo automobilistico.

Ricercatori di sicurezza e hacker etici hanno messo nel mirino, durante la manifestazione, diversi elementi cruciali delle soluzioni automotive contemporanee: caricatori per veicoli elettrici, sistemi operativi per auto come Android Automotive OS, Automotive Grade Linux e BlackBerry QNX e sistemi di infotainment in-vehicle (IVI).

Secondo le regole del concorso, tutti i dispositivi bersaglio utilizzavano le versioni più recenti dei sistemi operativi con tutti gli aggiornamenti di sicurezza installati, allo scopo di garantire così un ambiente di test realistico e aggiornato.

Nel primo giorno della manifestazione sono state scoperte 16 vulnerabilità zero-day, che hanno fruttato ai ricercatori un totale di oltre 382 mila dollari in ricompense. Nella seconda giornata dell'evento le ricompense totali sono state di oltre 335 mila dollari a fronte di 23 vulnerabilità 0-day scoperte e due attacchi, condotti con successo, al caricatore EV di Tesla. La giornata conclusiva di Pwn2Own 2025 ha invece permesso di assegnare 168.000 dollari di ricompense per ulteriori 10 falle zero-day.

Il vincitore assoluto dell'edizione 2025 è stato Sina Kheirkhah del Summoning Team, che ha dimostrato una straordinaria abilità nell'hacking di caricatori EV e sistemi infotainment veicolari. Con le sue dimostrazioni è riuscito a guadagnare 30,5 punti Master of Pwn e un premio in denaro di 222.250 dollari. Altri partecipanti di spicco hanno incluso Synacktiv, che si è aggiudicato il secondo posto con 147.500 dollari, seguito da PHP Hooligans con 110.000 dollari. Anche fuzzware.io e Viettel Cyber Security hanno ottenuto risultati notevoli, portando a casa rispettivamente 68.750 e 53.750 dollari.

È interessante confrontare questi risultati con le edizioni precedenti del concorso: nel gennaio 2024, la prima edizione di Pwn2Own Automotive aveva visto i ricercatori guadagnare 1.323.750 dollari per 49 bug zero-day mentre poco dopo, nel marzo dello stesso anno, Pwn2Own Vancouver 2024 aveva assegnato 1.132.500 dollari per 29 vulnerabilità zero-day. In quell'occasione, Synacktiv si era distinto vincendo 200.000 dollari e una Tesla Model 3 dopo aver hackerato l'ECU con controllo CAN BUS del veicolo in meno di 30 secondi, dimostrando la rapidità con cui esperti hacker possono compromettere sistemi critici.

E ora cosa accade? Dopo l'evento Pwn2Own Automotive i produttori e fornitori dei dispositivi e sistemi vulnerabili hanno 90 giorni di tempo per risolvere i problemi riscontrati e rilasciare le opportune patch di sicurezza. Trascorso questo tempo la Zero Day Initiative di TrendMicro condividerà pubblicamente tutti i dettagli delle vulnerabilità individuate dai ricercatori e hacker etici, secondo i principi di divulgazione responsabile.