La terza e ultima giornata di Pwn2Own Automotive 2026 si è conclusa con una serie di exploit, portando il totale dei pagamenti dell’evento a 1.047.000 dollari in 76 vulnerabilità zero-day. Il trio di Fuzzware.io, composto da Tobias Scharnowski, Felix Buchmann e Kristian Covic, ha vinto il titolo di “Master of Pwn” con 28 punti e 215.500 dollari di ricompense totali.
Dettagli dell’evento
Il giorno tre di Pwn2Own Automotive ha visto Fuzzware.io puntare nuovamente sull’Alpine iLX-F511. La squadra ha guadagnato 2.500 dollari e un punto verso il loro totale vincente. I ricercatori vietnamiti di Viettel Cyber Security hanno sfruttato un overflow di buffer nel Sony XAV-9500ES, ottenendo esecuzione di codice arbitrario e guadagnando 10.000 dollari e due punti.
Risultati e vincitori
PetoWorks ha sfruttato un overflow di buffer nel Grizzl-E Smart 40A, guadagnando 10.000 dollari e quattro punti, mentre Team DDOS ha dimolayer un overflow di buffer basato su stack nell’Alpine iLX-F511, guadagnando 5.000 dollari.
La società finlandese Juurin Oy ha portato un tocco di originalità e nostalgia. I ricercatori Aapo Oksman, Elias Ikkelä-Koski e Mikael Kantola hanno sfruttato una vulnerabilità di tipo time-of-check to time-of-use (TOCTOU) nel caricabatterie veloce Alpitronic HYC50, installando una versione giocabile di Doom in una demo spettacolare che ha fruttato loro 20.000 dollari e quattro punti.
