Sistem Tesla Diretas, 37 Zero-Day Dipamerkan di Pwn2Own Automotive 2026

Ajang Pwn2Own Automotive 2026 kembali menegaskan rapuhnya ekosistem teknologi otomotif modern. Pada hari pertama kompetisi, para peneliti keamanan berhasil mendemonstrasikan 37 kerentanan zero-day, termasuk eksploitasi terhadap sistem infotainment Tesla, dengan total hadiah mencapai US$516.500.

Tim Synacktiv menjadi salah satu sorotan utama setelah sukses meretas Tesla Infotainment System. Mereka menggabungkan celah information leak dan out-of-bounds write untuk memperoleh hak akses root melalui kategori serangan berbasis USB, yang menghasilkan hadiah US$35.000. Tim yang sama juga mendemonstrasikan rantai tiga kerentanan berbeda untuk mendapatkan eksekusi kode tingkat root pada Sony XAV-9500ES digital media receiver, menambah US$20.000 ke total perolehan mereka.

Charger EV dan Head Unit Jadi Sasaran Empuk

Serangan tidak hanya menyasar sistem dalam kendaraan. Tim Fuzzware.io mengantongi US$118.000 setelah berhasil meretas Alpitronic HYC50 Charging Station, charger Autel, serta Kenwood DNR1007XR navigation receiver. Sementara itu, PetoWorks memperoleh US$50.000 usai merangkai tiga bug zero-day untuk mendapatkan akses root pada Phoenix Contact CHARX SEC-3150 charging controller.

Tim Team DDOS juga mencatatkan hasil signifikan dengan hadiah US$72.500, setelah berhasil mengeksploitasi ChargePoint Home Flex, Autel MaxiCharger, dan Grizzl-E Smart 40A—tiga perangkat pengisian kendaraan listrik yang banyak digunakan di pasar global.

Target Hari Kedua dan Skema Pengungkapan

Pada hari kedua kompetisi, sejumlah target kembali menjadi sasaran. Grizzl-E Smart 40A dijadwalkan diuji oleh empat tim, Autel MaxiCharger oleh tiga tim, dan ChargePoint Home Flex oleh dua tim. Setiap keberhasilan eksploitasi ChargePoint Home Flex akan diganjar US$50.000. Fuzzware.io juga berencana mencoba kembali meretas Phoenix Contact CHARX SEC-3150 dengan hadiah tambahan US$70.000 jika berhasil.

Sesuai aturan, para vendor memiliki waktu 90 hari untuk mengembangkan dan merilis perbaikan keamanan sebelum kerentanan yang dieksploitasi dipublikasikan oleh Zero Day Initiative milik Trend Micro.

Fokus Otomotif dan Rekam Jejak Tahun Sebelumnya

Pwn2Own Automotive 2026 berlangsung di Tokyo, Jepang, pada 21–23 Januari 2026, bertepatan dengan pameran Automotive World. Kompetisi ini secara khusus menargetkan teknologi otomotif yang telah diperbarui penuh, mulai dari in-vehicle infotainment (IVI), charger kendaraan listrik, hingga sistem operasi otomotif seperti Automotive Grade Linux.

Sebagai perbandingan, Pwn2Own Automotive 2025 berakhir dengan total hadiah US$886.250 dari 49 zero-day yang berhasil didemonstrasikan. Pada edisi perdana tahun 2024, para peneliti bahkan mengumpulkan US$1.323.750 setelah mengeksploitasi 49 zero-day di berbagai sistem mobil listrik, termasuk dua kali peretasan terhadap Tesla.

Rangkaian temuan ini menegaskan bahwa peningkatan konektivitas dan kompleksitas kendaraan modern harus diimbangi dengan investasi serius pada keamanan siber. Tanpa itu, mobil listrik dan infrastruktur pendukungnya berisiko menjadi target empuk serangan berskala besar.