Pada hari pertama Pwn2Own Automotive 2025, peneliti keamanan mengeksploitasi 16 zero-day unik dan mengumpulkan hadiah uang tunai sebesar $382,750.
Fuzzware.io memimpin kompetisi setelah meretas pengisi daya kendaraan listrik Autel MaxiCharger dan Phoenix Contact CHARX SEC-3150 menggunakan buffer overflow berbasis tumpukan dan bug kesalahan validasi asal. Ini memberi mereka $50.000 dan 10 poin Master of Pwn.
Sina Kheirkhah dari Tim Pemanggil juga memperoleh $91,750 dan 9,25 poin Master of Pwn setelah meretas pengisi daya Ubiquiti dan Phoenix Contact CHARX SEC-3150 EV menggunakan bug kunci kriptografi berkode keras dan kombinasi tiga zero-day (salah satunya diketahui sebelumnya) .
Tim Synacktiv berada di posisi ketiga di papan peringkat dan membawa pulang $57.500 setelah berhasil mendemonstrasikan bug di protokol OCPP untuk meretas ChargePoint Home Flex (Model CPH50) menggunakan manipulasi sinyal melalui konektor,
Peneliti keamanan dari PHP Hooligans juga berhasil meretas pengisi daya Autel yang telah ditambal sepenuhnya menggunakan buffer overflow berbasis heap dan memperoleh $50.000, sementara tim Keamanan Siber Viettel mengumpulkan $20.000 setelah mendapatkan eksekusi kode pada Kenwood In-Vehicle Infotainment (IVI) menggunakan perintah OS injeksi zero-day.
Setelah kerentanan zero-day dieksploitasi dan dilaporkan selama Pwn2Own, vendor memiliki waktu 90 hari untuk mengembangkan dan merilis patch keamanan sebelum Zero Day Initiative dari TrendMicro mengungkapkannya secara publik.
Kompetisi peretasan Pwn2Own Automotive 2025, yang berfokus pada teknologi otomotif, berlangsung di Tokyo dari 22 Januari hingga 24 Januari selama Dunia Otomotif konferensi otomatis.
Sepanjang kontes, peneliti keamanan dapat menargetkan pengisi daya kendaraan listrik (EV), sistem infotainment dalam kendaraan (IVI), dan sistem operasi mobil (yaitu Automotive Grade Linux, Android Automotive OS, dan BlackBerry QNX).
Meskipun Tesla juga menyediakan unit benchtop setara Model 3/Y (berbasis Ryzen), para kontestan hanya mencatatkan upaya terhadap konektor dinding perusahaan.
Jadwal lengkap kontes hacking otomotif tahun ini telah tersedia Di Sinisedangkan jadwal hari pertama dan hasil setiap tantangan dapat diketahui Di Sini.
Selama edisi pertama Pwn2Own Otomotif pada Januari 2024, peretas mengumpulkan $1.323.750 karena meretas Tesla dua kali dan mendemonstrasikan 49 bug zero-day di beberapa sistem mobil listrik.
Dua bulan kemudian, selama Pwn2Own Vancouver 2024peneliti keamanan memperoleh $1.132.500 setelah mengeksploitasi 29 zero-day (dan beberapa tabrakan bug). Synacktiv pulang dengan membawa $200,000 dan mobil Tesla Model 3 setelah meretas ECU dengan Vehicle (VEH) CAN BUS Control dalam waktu kurang dari 30 detik.
