Automotivo

O concurso Pwn2Own Automotive 2026, realizado entre 21 e 23 de janeiro em Tóquio, Japão, resultou na exploração de 76 vulnerabilidades zero-day, gerando prêmios totais de $1.047.000 para os pesquisadores de segurança. O evento, que ocorreu durante a Automotive World, focou em tecnologias automotivas, incluindo sistemas de infotainment (IVI) e carregadores de veículos elétricos (EV). A equipe Fuzzware.io destacou-se, arrecadando $215.000, ao explorar falhas em estações de carregamento e sistemas de navegação. A competição permitiu que os fornecedores tivessem um prazo de 90 dias para corrigir as vulnerabilidades antes de sua divulgação pública. O evento anterior, Pwn2Own Automotive 2024, já havia visto hackers arrecadarem $1.323.750, evidenciando a crescente preocupação com a segurança em tecnologias automotivas. A exploração de zero-days em sistemas críticos, como o infotainment da Tesla, ressalta a necessidade urgente de medidas de segurança robustas na indústria automotiva.

Durante o segundo dia do Pwn2Own Automotive 2026, realizado em Tóquio, pesquisadores de segurança arrecadaram US$ 439.250 (cerca de R$ 2,3 milhões) ao explorar 29 vulnerabilidades zero-day. O evento, que ocorre de 21 a 23 de janeiro, foca em tecnologias automotivas, incluindo sistemas de infotainment e carregadores de veículos elétricos. A equipe Fuzzware.io lidera a competição com US$ 213.000 em prêmios, destacando-se ao hackear o controlador de carregamento Phoenix Contact CHARX SEC-3150 e o carregador ChargePoint Home Flex. Outros participantes, como Sina Kheirkhah e Rob Blakely, também conseguiram exploits significativos, totalizando até agora US$ 955.750 em prêmios após dois dias. O evento é uma plataforma importante para a identificação de falhas de segurança, com um prazo de 90 dias para que os fornecedores lancem correções para as vulnerabilidades exploradas. O Pwn2Own Automotive de 2026 já demonstrou um aumento no número de zero-days em comparação aos anos anteriores, o que levanta preocupações sobre a segurança das tecnologias automotivas em um mercado em rápida evolução.

A Stellantis NV, fabricante global de automóveis que inclui marcas como Citroën, FIAT e Jeep, confirmou um vazamento de dados após a violação de um provedor de serviços terceirizado na América do Norte. O incidente, detectado no último domingo, resultou na exposição de informações básicas de contato, como nomes, endereços de e-mail e números de telefone, mas não envolveu dados financeiros ou informações pessoais sensíveis. A empresa está notificando os clientes potencialmente afetados e recomenda que eles fiquem atentos a tentativas de phishing e outros golpes relacionados. A Stellantis ativou imediatamente seus protocolos de resposta a incidentes e está colaborando com especialistas em cibersegurança para analisar a extensão da violação e fortalecer a segurança em sua rede de fornecedores. Este incidente ocorre em um contexto de aumento de ataques cibernéticos no setor automotivo, onde muitos fabricantes dependem de fornecedores terceirizados, tornando-se alvos atraentes para atacantes. A Stellantis enfatiza a importância de investimentos contínuos em medidas de cibersegurança e a conformidade com as leis de proteção de dados, como a LGPD no Brasil.

Uma nova vulnerabilidade, identificada como CVE-2025-24132, foi revelada, permitindo que atacantes explorem os protocolos sem fio do Apple CarPlay para obter privilégios de root em sistemas multimídia de veículos. Apresentada na conferência DefCon, a falha é um estouro de buffer na SDK do AirPlay, destacando os riscos críticos que veículos conectados enfrentam e a necessidade urgente de uma implementação coordenada de patches na indústria automotiva. O ataque se aproveita do emparelhamento Bluetooth padrão ‘Just Works’, permitindo que um invasor se passe por um iPhone e solicite credenciais de Wi-Fi sem interação do usuário. Uma vez conectado, o atacante pode obter informações de configuração da rede e explorar a vulnerabilidade do AirPlay. Apesar de a Apple ter lançado versões corrigidas do SDK, a adoção dessas correções por montadoras é lenta, o que deixa milhões de veículos vulneráveis. A colaboração proativa entre fabricantes de equipamentos originais (OEMs) e fornecedores de software é essencial para mitigar esses riscos e garantir que todos os veículos com CarPlay recebam proteção em tempo hábil.