HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

在Pwn2Own Automotive 2025黑客大赛的第二天，安全研究人员两次攻破了特斯拉的Wall Connector电动汽车充电器。

此外，他们还发现了WOLFBOX、ChargePoint Home Flex、Autel MaxiCharger、Phoenix Contact CHARX、EMPORIA电动汽车充电器，以及Alpine iLX-507、Kenwood DMX958XR、Sony XAV-AX8500车载信息娱乐系统（IVI）中的23个零日漏洞。

PHP Hooligans团队率先利用未检查最小值的数字范围比较零日漏洞攻破了特斯拉Wall Connector，随后Synacktiv团队也通过充电连接器攻破了特斯拉的电动汽车充电器，而这种攻击方式此前从未公开演示过。

当天，在特斯拉Wall Connector的黑客攻击尝试中，发生了两次漏洞碰撞：一次由PCAutomotive团队发起，另一次由Summoning团队的Sina Kheirkhah发起，他利用了两个已知漏洞的漏洞链。

根据Pwn2Own Tokyo 2025大赛规则，比赛期间所有目标设备都必须安装所有安全更新并运行最新的操作系统版本。

在比赛第二天，趋势科技的零日漏洞计划（Zero Day Initiative）为23个零日漏洞颁发了335,500美元的现金奖励。目前，Sina Kheirkhah在“Pwn大师”排名中领先。

在Pwn2Own Automotive大赛首日，安全研究人员利用了16个独特的零日漏洞，并获得了382,750美元的现金奖励。比赛结束后，供应商将有90天的时间开发和发布安全补丁，然后ZDI才会公开披露这些零日漏洞。

Pwn2Own Automotive 2025黑客大赛将于1月22日至1月24日在日本东京举行的Automotive World大会上，专注于汽车技术的攻击。

黑客将瞄准汽车操作系统（如Automotive Grade Linux、Android Automotive OS和BlackBerry QNX）、电动汽车充电器和车载信息娱乐系统。

尽管特斯拉还提供了Model 3/Y（基于Ryzen）的等效台式设备，但在比赛日程公布之前，没有安全研究人员注册尝试攻击该公司的Wall Connector。第二天的日程安排和每项挑战的结果也可在此处查看。

一年前，在首届Pwn2Own Automotive东京大赛上，安全研究人员因两次攻破特斯拉并利用多个电动汽车系统中的49个零日漏洞，获得了1,323,750美元的奖励。

...

Mozilla分析了25个主要汽车品牌，并在隐私和安全方面给所有品牌打了不及格的分数。他们收集大量的个人数据，并与其他人共享这些数据，而通常未经客户的明确许可。

...

2023年5月，德国商报发文称特斯拉存在数据泄露事件，时间跨度从 2015 年至 2022 年 3 月，覆盖了美国、欧洲和亚洲特斯拉车主报告的投诉。在此期间特斯拉车主报告了 2400 多起自动加速问题和 1500 多起制动问题，其中包括 139 起“意外紧急制动”报告和 383 起错误碰撞警告导致的“幽灵刹车”报告，客户纷纷表达了对安全的担忧。

...

8月14日，有网友在互联网平台发消息称，湖南岳阳三荷机场的停车场立有『涉密管制区域，禁止特斯拉入内』的警示牌，不允许特斯拉汽车进入，如果特斯拉车主有停车需求，可以把人送过去后，停到机场外十字路口右拐处。随后这一消息在互联网平台引发广泛关注和讨论。

...

据路透社4月6日报道，虽然特斯拉曾向其数百万电动车车主保证其隐私的安全性，但根据路透社对九名前员工的采访，发现在 2019 年至 2022 年期间，特斯拉员工竟通过内部消息系统私下分享车载摄像头记录的音视频内容。

...

特斯拉电动汽车在安全碰撞测试中所展现出的安全性高到令人难以置信，其中Model Y 的表现尤其令用户满意，曾在NHTSA的安全测试中获得了最高的IIHS安全等级。

...