近期在東京舉辦的 Pwn2Own Automotive 2025 競賽中,特斯拉的壁掛式電動車充電器(Wall Connector)成為駭客們的攻擊目標,並多次被成功破解。這場由 Trend Micro 的 Zero Day Initiative (ZDI) 主辦的賽事,旨在揭露汽車技術中的潛在漏洞,並提供廠商改進的機會。這次不僅是特斯拉充電器遭破解,其他品牌充電器也未能倖免,不僅讓參賽者贏得了高額獎金,這也將反思,電動車基礎設備的安全性是否足夠應對未來的威脅?
文章目錄
特斯拉壁掛充電器成為駭客目標,獎金總額高達 12.95 萬美元(約 400 萬台幣)
在比賽期間,研究人員多次成功破解特斯拉的壁掛充電器,總共贏得了 129,500 美元(約 400 萬台幣)的獎金。第一個重大漏洞由名為「PHP Hooligans」的團隊發現,他們利用一個「未檢查最小值的數字範圍比較」零時差漏洞,成功控制了充電器並使其當機。這項發現為他們贏得了最高獎金 50,000 美元(約 155 萬台幣)。
緊接著,另一個名為 Synacktiv 的團隊(這類比賽中的特斯拉常客)展示了一種創新的攻擊方式:透過充電接頭來破解特斯拉充電器。這種方法從未被公開使用過,因此他們獲得了 45,000 美元(約 140 萬台幣)的獎金。
此外,還有兩個團隊也成功攻破了充電器,不過他們使用的是已知的漏洞。PCAutomotive 團隊因他們的攻擊獲得了 22,500 美元(約 70 萬台幣),而 Summoning 團隊的 Sina Kheirkhah 則利用一個雙漏洞攻擊鏈贏得了 12,500 美元(約 39 萬台幣)。這些所謂的「漏洞碰撞」顯示,即使已知的漏洞如果沒有妥善修補,仍然可能帶來安全風險。
不只是特斯拉,其他品牌充電器也遭殃
除了特斯拉的充電器,Pwn2Own Automotive 2025 比賽中,其他品牌的電動車充電器也未能倖免。包括 WOLFBOX、ChargePoint Home Flex、Autel MaxiCharger、Phoenix Contact CHARX 和 EMPORIA 等品牌的充電器,都被成功破解。
這對特斯拉和電動車安全意味著什麼?
特斯拉的壁掛充電器多次被成功破解,凸顯了電動車基礎設施面臨的網路安全威脅正在不斷演變。儘管特斯拉以其強大的 OTA(空中升級)功能聞名,能夠迅速部署安全更新,但 Pwn2Own 中展示的漏洞仍然提醒我們,持續的警覺和主動的安全措施是必要的。對於電動車車主來說,這些發現再次強調了保持軟體和韌體更新的重要性。特斯拉和其他電動車製造商需要與網路安全研究人員密切合作,在惡意攻擊者利用這些漏洞之前,盡快修補問題。
修補與預防措施
在 Pwn2Own 結束後,包括特斯拉在內的廠商有 90 天的時間來開發並發布修補程式,之後這些漏洞才會被公開披露。這段緩衝期確保了製造商有足夠的時間來修復安全漏洞,避免被惡意攻擊者利用。特斯拉多年來持續參與 Pwn2Own,顯示了該公司願意與網路安全社群合作,並提升產品的安全性。過去,特斯拉已經修復了在類似駭客競賽中發現的漏洞,預計這次也會針對新發現的漏洞進行修補。
