Tijdens de Pwn2Own Automotive-wedstrijd in Tokyo hebben onderzoekers onbekende kwetsbaarheden in laadpalen van fabrikanten Ubiquiti, Autel en ChargePoint en Phoenix gedemonstreerd. Via de beveiligingslekken kan een aanvaller code op de laadpalen uitvoeren. Beveiligingsupdates zijn nog niet beschikbaar, alsmede technische details over de kwetsbaarheden.

Pwn2Own is een jaarlijks terugkerende hackwedstrijd waarin onderzoekers allerlei onbekende kwetsbaarheden in veelgebruikte producten en software aantonen. Er zijn verschillende edities van het evenement. Vorig jaar vond voor het eerst 'Pwn2Own Automotive' plaats, waarbij 'automotive' onderdelen centraal staan. De komende dagen hebben onderzoekers het vooral voorzien op laadpalen en infotainmentsystemen.

Onderzoekers van het team 'PHP Hooligans' demonstreerden een heap-based buffer overflow in de Autel MaxiCharger AC Wallbox Commercial. Het 'Summoning Team' liet een 'hard-coded cryptographic key bug' in de Ubiquity Connect EV Station zien. Onderzoekers van fuzzware.io gebruikten een stack-based buffer overflow om de Autel te compromitteren. Dezelfde onderzoekers wisten via een 'origin validation error bug' code execution op de Phoenix Contact CHARX SEC-3150 laadpaal te krijgen.

De ChargePoint Home Flex laadpaal moest zijn meerdere in onderzoekers van Synacktiv erkennen, die hun code door middel van een stack-based buffer overflow konden uitvoeren. Verdere details over de kwetsbaarheden zijn niet bekendgemaakt. Onderzoekers ontvingen voor hun kwetsbaarheden bedragen van 25.000 en 50.000 dollar. De details worden nu met de fabrikanten gedeeld, zodat die patches voor hun producten kunnen ontwikkelen. Morgen vindt de tweede dag van Pwn2Own Automotive 2025 plaats.