Pwn2Own Automotive 202549 Zero-Day-Schwachstellen bei Hacking-Contest entdeckt
Von
Marvin Djondo-Pacham
3 min Lesedauer
White-Hat-Hacker haben im Bereich Automotive nach drei Tagen 49 Zero-Day-Schwachstellen entdeckt. Cyberkriminelle könnten ähnliche Methoden für ihre Zwecke nutzen.
Bei der „Pwn2Own Automotive 2025“ entdeckten White-Hat-Hacker 49 Zero-Day-Schwachstellen, mit Methoden, die auch Cyberkriminelle nutzen können.
(Bild: VicOne)
VicOne hat gemeinsam mit der Zero Day Initiative (ZDI) den White-Hat-Hacking-Contest „Pwn2Own Automotive 2025“ veranstaltet. Vom 22. Januar bis 24. Januar versuchten einige der besten Sicherheitsforscher der Welt, unbekannte Cybersicherheitslücken (Zero-Day-Schwachstellen) im Automobilbereich zu finden.
Insgesamt nahmen 21 Hacker aus 13 Ländern am Wettbewerb auf der Automotive World in Tokio teil. In den Regeln stehen neben den Teilnahmebedingungen und -kriterien auch die Bewertungsmaßstäbe und die Kategorien der Zielsysteme. Um Punkte für die Gesamtwertung zu erlangen, konnten die Teilnehmer Ziele aus vier Kategorien attackieren. Diese Kategorien sind:
In-Vehicle-Infotainment-Systeme (IVI)
Elektrofahrzeug-Ladegeräte (EV-Charger)
Betriebssysteme (OS)
Tesla
Buffer-Überläufe als beliebtes Mittel
Die White-Hat-Hacker entdeckten während des drei tägigen Wettkampfs insgesamt 49 Zero-Day-Schwachstellen. Die meisten dieser Sicherheitslücken befinden sich bei den IVI-Systemen und den EV-Ladegeräten. In der OS-Kategorie erfolgte nur ein Versuch. Das Team „Technical Debt Collectors“ konnte die Sicherheitsmechanismen des „Automotive Grade Linux" erfolgreich umgehen. In der Tesla-Kategorie hat es keinen einzigen Angriff gegeben.
Bei den Methoden, die die Hacker einsetzten, sticht eine heraus. Das Teilnehmerfeld nutzte hauptsächlich Heap- und Stack-basierte Buffer-Überläufe aus. Dieser Bug-Typ ist in der Unternehmensinformatik bereits bekannt. Moderne Codierungspraktiken haben die meisten dieser Anfälligkeiten beseitigt. Die Automobilbranche scheint hier noch ein wenig hinterher zu hinken.
Infotainmentsysteme ermöglichen Zugriff aufs gesamte Fahrzeug
Bei den Angriffen der White-Hacker entsteht kein realer Schaden. Doch ihre Methoden können in der echten Welt verheerende Folgen für die Besitzer haben. Für die meisten Angriffe in der IVI-Kategorie brauchten die Angreifer physischen Zugang zu den Geräten.
Das bedeutet: In einem realen Szenario könnte ein Angreifer das Zielfahrzeug beschädigen, um sich Zutritt zum Cockpit und somit zum IVI-Gerät zu verschaffen. Vielleicht hat der Kriminelle sein Ziel bei einem Parkservice oder in einer Garage ausgesucht. Sobald der Angreifer Zugang zu dem IVI-Gerät hat, ermöglicht ihm das weiteren Zugang zu den anderen Systemen des Fahrzeugs wie dem Steuergerät.
Über das Steuergerät könnte er das Auto durch eine Schadsoftware sperren und den Fahrer zur Zahlung eines Lösegelds auffordern, um das Fahrzeug wieder freizugeben. Diese Methode nennt sich „Carjacking 2.0“.
Direkt zum Start des Wettbewerbs, fanden die Teilnehmer 16 Zero-Day-Schwachstellen. In diesem Video sehen Sie die Highlights des ersten Tages, inklusive der Eröffnungszeremonie.
Kriminelle ergaunern Zahlungsdaten durch Ladegeräte
Der Besitzer bemerkt möglicherweise nicht einmal, dass er gefährdet wurde und verbreitet den Schaden , wenn er sein Auto an ein anderes Ladegerät anschließt. Das kompromittierte Fahrzeug sendet die Signale dann über das Verbindungskabel zurück an ein EV-Ladegerät.
Viele dieser Ladegeräte nutzen RFID-Karten, Apps oder Kreditkarten zur Abrechnung. Mit so einem Angriff können Kriminelle Zahlungsdaten im großen Stil erbeuten. Und das bevor die Opfer überhaupt merken, dass ihr Fahrzeug Schadsoftware ausgesetzt war und sie diese selbst verbreiten.
Sina Kheirkhah hat das Ladegerät der Ubiquiti Connect EV Station „gerickrolled“.
(Bild: VicOne)
Ein Teilnehmer konnte sich über die Dauer des Wettbewerbs klar vom Rest des Feldes abgesetzen. Sina Kheirkhah vom Summoning Team entdeckte allein 14 Zero-Day-Schwachstellen. Diese haben ihm 30,5 PWN-Points und den Titel „King of Pwn“ beschert.
Das Endergebnis der Pwn2Own Automotive 2025
(Bild: Vogel IT-Medien GmbH)
Besonders sein Angriff auf den „Ubiquiti Connect EV Station Charger“ war ein Highlight. Er nutzte einen Bug aus, um das Musikvideo von Rick Astleys „Never Gonna Give You Up“ auf dem Bildschirm des Ladegeräts abspielen zu lassen. Dieses Musikvideo ist Teil des Internetphänomens „rickrolling“, bei dem Nutzer ausgetrickst werden um unwillentlich das Musikvideo abzuspielen.
Die Titelverteidiger vom Team „Synacktiv“ führten erfolgreich einen Angriff auf den „Autel Maxi Charger“ aus.
(Bild: VicOne)
Den zweiten Platz in der Gesamtwertung sicherte sich das das französische Team „Synacktiv“ mit sieben entdeckten Zero-Day-Schwachstellen und 21,75 PWN-Points. Die Franzosen haben den Wettbewerb im Vorjahr für sich entscheiden können und auch dieses Jahr präsentierten sie eine beeindruckende Leistung.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Bereits am ersten Tag des Wettbewerbs machten die Titelverteidiger auf sich aufmerksam. Sie nutzen einen Stack basierten Pufferüberlauf beim „ChargePoint Home Flex (Modell CPH50)“ aus. Außerdem konnten sie einen bekannten Bug ausnutzen, um das Signal über den Anschluss des Ladegeräts zu manipulieren. Das brachte ihnen Bonuspunkte ein.
Das Team von „fuzzware.io“ drang in das „WolfBox EV“-Ladegerät ein und sicherte sich so wichtige Punkte.
(Bild: Vicone)
Im Teilnehmerfeld befand sich auch ein deutsches Team. Mit drei entdeckten Zero-Day-Schwachstellen und 12 PWN-Points belegte „fuzzware.io“ aus Bochum den vierten Platz in der Gesamtwertung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/de/65/de65db2d088ba27e363a897a6238f646/0123575490v1.jpeg "Brian Gorenc, Vizepräsident für Bedrohungsforschung bei Trend Micro, und Max Cheng, CEO von VicOne, während der Eröffnungszeremonie von „Pwn2Own Automotive 2025“(Bild: VicOne)")
:quality(80)/p7i.vogel.de/wcms/bc/9f/bc9fb84c562ccfe28202b387c318c046/0123575493v1.jpeg "Das Team „Stealien“ bewies seine Kreativität, indem es die ikonische „Nyan Cat“ auf dem Alpine IVI-System zeigte. (Bild: Vicone)")
:quality(80)/p7i.vogel.de/wcms/a8/8e/a88e441398a19fcc14e4f0aa1d9c170e/0123575498v1.jpeg "Die Forscher des Synacktiv-Teams demonstrierten einen beeindruckenden Exploit, als sie den „Tesla Wall Connector“ direkt über seinen Ladeanschluss angriffen.(Bild: VicOne)")
:quality(80)/p7i.vogel.de/wcms/1e/7a/1e7ad1fd49361d013ad74d784c033e69/0123575501v1.jpeg "Das „Pony 7“-Team galoppierte in das „Kenwood DMX958XR-System“.(Bild: VicOne)")
:quality(80)/p7i.vogel.de/wcms/ef/6a/ef6aa9003cd8052ad18a2e85b3a29b8a/0121295781v2.jpeg "Mit der neuen UN-Bestimmung UN R155, die seit Juli 2024 gilt, ist Cybersicherheit für neue Fahrzeuge Pflicht. (Bild: BoOm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ee/3b/ee3b647f1547624b404339c71fbc7f8f/0118037983.jpeg "Auch wenn Ladesäulen mitunter recht futuristisch wirken: Die verbaute Security wird dem modernen Look nicht unbedingt gerecht. (Bild: Dr. Wilhelm Greiner)")
:quality(80)/p7i.vogel.de/wcms/a7/de/a7de3ae81712df0996433b2c6b301397/0122077744v2.jpeg "Bislang wurde noch kein vernetztes Auto auf der Straße gehackt, aber Hersteller und Lieferanten dürfen jetzt nicht nachlässig sein, denn die Angriffsoberfläche vergrößert sich rapide. (Bild: peshkova - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/55/18559ea317e85b9b15194a214fdc7b71/0124904605v1.jpeg "Der White-Hat-Hacking-Contest „Pwn2Own“ fand dieses Jahr mit KI als neuer Kategorie in Berlin statt. (Bild: Marvin Djondo-Pacham)")
:quality(80)/p7i.vogel.de/wcms/5b/69/5b69d41b8faa10828581f592b35db269/0127622302v1.jpeg "Symbolbild: Beim White-Hat-Hacker-Wettbewerb treten internationale Teams gegeneinander an, um bislang unbekannte Sicherheitslücken in Geräten und Anwendungen aufzudecken. (Bild: Midjourney / Paula Breukel / KI-generiert)")