29 Zero-Day Dieksploitasi di Hari Kedua Pwn2Own Automotive 2026

Kompetisi peretasan otomotif Pwn2Own Automotive 2026 kembali mencatat hasil mencolok pada hari kedua pelaksanaannya. Para peneliti keamanan berhasil mengeksploitasi 29 kerentanan zero-day unik dan mengantongi total hadiah USD 439.250, menegaskan tingginya tantangan keamanan pada teknologi otomotif modern.

Ajang Pwn2Own Automotive 2026 berlangsung di Tokyo, Jepang, pada 21–23 Januari 2026, bertepatan dengan pameran Automotive World. Fokus utama kompetisi ini adalah menguji ketahanan sistem otomotif yang telah diperbarui penuh, mulai dari pengisi daya kendaraan listrik (EV charger), in-vehicle infotainment (IVI), hingga sistem operasi mobil seperti Automotive Grade Linux.

Fuzzware.io Masih Memimpin Klasemen

Hingga hari kedua, tim Fuzzware.io masih memimpin papan klasemen dengan total hadiah USD 213.000. Pada hari kedua saja, mereka menambah perolehan sebesar USD 95.000 setelah berhasil mengeksploitasi sejumlah sistem penting, termasuk pengendali pengisian Phoenix Contact CHARX SEC-3150, pengisi daya ChargePoint Home Flex, serta Grizzl-E Smart 40A EV charging station.

Sementara itu, Sina Kheirkhah dari Summoning Team meraih USD 40.000 setelah berhasil mendapatkan akses root pada beberapa perangkat, di antaranya Kenwood DNR1007XR navigation receiver, ChargePoint Home Flex, dan Alpine iLX-F511 multimedia receiver. Dua peneliti lain, Rob Blakely dari Technical Debt Collectors dan Hank Chen dari InnoEdge Labs, masing-masing juga memperoleh USD 40.000 berkat eksploitasi rantai zero-day pada Automotive Grade Linux dan Alpitronic HYC50 charging station.

Total Hadiah Hampir Tembus USD 1 Juta

Setelah dua hari kompetisi, total hadiah yang telah dikumpulkan para peneliti mencapai USD 955.750, dengan jumlah 66 kerentanan zero-day berhasil dieksploitasi. Angka ini menunjukkan peningkatan signifikan dibandingkan beberapa tahun sebelumnya, sekaligus memperlihatkan luasnya permukaan serangan pada ekosistem otomotif yang semakin terkoneksi.

Pada hari ketiga, sejumlah target yang sama akan kembali diuji oleh tim berbeda. Perangkat seperti Grizzl-E Smart 40A, Alpitronic HYC50, dan Autel MaxiCharger kembali masuk daftar sasaran, menandakan bahwa sistem-sistem tersebut dianggap bernilai tinggi dari sudut pandang riset keamanan.

Tekanan bagi Vendor Otomotif

Sesuai aturan Pwn2Own, seluruh vendor yang produknya dieksploitasi memiliki waktu 90 hari untuk mengembangkan dan merilis perbaikan keamanan sebelum detail teknis celah tersebut dipublikasikan secara luas oleh Zero Day Initiative milik Trend Micro. Mekanisme ini dirancang agar temuan riset keamanan dapat diterjemahkan menjadi peningkatan perlindungan nyata bagi pengguna.

Tren eksploitasi yang terus meningkat di Pwn2Own Automotive mempertegas bahwa industri otomotif kini berada di garis depan tantangan keamanan siber. Dengan semakin banyaknya kendaraan dan infrastruktur pendukung yang terhubung ke jaringan, pengujian keamanan agresif seperti ini menjadi krusial untuk mencegah risiko serangan di dunia nyata.