شهدت العاصمة اليابانية طوكيو، ضمن فعاليات مؤتمر Automotive World الممتد بين 21 و23 يناير لعام 2026، انطلاق نسخة استثنائية من مسابقة Pwn2Own Automotive. وقد سجل اليوم الأول من هذا الحدث الأمني الرفيع اختراقاً عملياً لافتاً لنظام الترفيه والمعلومات في سيارات Tesla، حيث نجح الباحثون المشاركون في استغلال 37 ثغرة أمنية من نوع اليوم الصفري (Zero-day)، محققين جوائز مالية بلغت قيمتها 516,500 دولار في انطلاقة المسابقة فقط.
وتأتي هذه المنافسة تحت إشراف مبادرة Zero Day Initiative التابعة لشركة Trend Micro، بهدف اختبار متانة الأنظمة البرمجية للمركبات الحديثة وتقنياتها الملحقة بعد التأكد من تحديثها لآخر الإصدارات المتاحة.
آليات الاستغلال التقني وسقوط جدران الحماية في Tesla
لا يقتصر مفهوم الاختراق في سياق هذه المسابقة على مجرد الدخول غير المصرح به، بل يمتد ليشمل قدرة الفرق البحثية على بناء سلاسل استغلال معقدة تثبت الأثر التقني للثغرات أمام لجنة التحكيم.
وفي هذا الإطار، برز فريق Synacktiv الذي تمكن من اختراق نظام الترفيه في Tesla عبر فئة هجوم تعتمد على منفذ USB، مستخدماً سلسلة مكونة من ثغرتين هما تسريب المعلومات والكتابة خارج الحدود (Out-of-Bounds Write). وقد انتهت هذه المحاولة بنجاح الفريق في الحصول على صلاحيات الجذر (Root)، وهو ما يمثل أعلى مستوى من التحكم البرمجي في النظام، ما خولهم حصد جائزة قدرها 35 ألف دولار.
كما استمر تألق الفريق نفسه بتنفيذ سلسلة من 3 ثغرات للوصول إلى تنفيذ شيفرة برمجية بصلاحيات مرتفعة على جهاز الوسائط Sony XAV-9500ES، مؤكداً أن اتساع سطح الهجوم في الوحدات الترفيهية بات يشكل ثغرة حقيقية تتطلب استراتيجيات عزل شبكي أكثر صرامة.
شمولية الاستهداف من أنظمة الترفيه إلى البنية التحتية للشحن
لم تكن Tesla الهدف الوحيد في مرمى نيران الباحثين، إذ كشفت المسابقة عن هشاشة واسعة في بنية الشحن الكهربائي والوحدات الملاحية لعدة شركات عالمية.
فقد شهدت المنصة نجاحات متتالية ضد شواحن ومتحكمات ذكية مثل Phoenix Contact CHARX وGrizzl-E Smart 40A، بالإضافة إلى منصات ترفيهية من إنتاج Kenwood وAlpine. وتنوعت الأنماط البرمجية المكتشفة بين عيوب حقن الأوامر، وتجاوزات الذاكرة، ووجود بيانات اعتماد صلبة مخزنة داخل الأكواد، وهي عيوب تندرج تحت تصنيفات (CWE) المعترف بها دولياً. يعكس هذا التنوع حقيقة أن أمن المركبة الكهربائية لا ينفصل عن أمن البنية التحتية المحيطة بها، حيث أن أي تلاعب بإشارات الشحن أو بروتوكولات الاتصال قد يؤدي إلى كوارث تشغيلية تتجاوز حدود النظام الداخلي للسيارة.
حصاد المسابقة ومسار الإصلاح البرمجي المستقبلي
مع اختتام المسابقة في يومها الثالث، ارتفعت الحصيلة الإجمالية للثغرات المكتشفة إلى 76 ثغرة يوم صفري، بجوائز نقدية بلغت 1,047,000 دولار. وقد توج فريق Fuzzware.io بلقب Master of Pwn بعد جمعه 28 نقطة.
ومن الناحية التنظيمية، تمنح قواعد المسابقة الموردين والشركات المصنعة مهلة 90 يوماً لتطوير وإصدار التصحيحات الأمنية اللازمة قبل أن يتم الإفصاح العلني عن تفاصيل هذه الثغرات. يضمن هذا الأسلوب الممنهج في الكشف والترقيع تحويل نتائج المسابقة إلى تحسينات أمنية ملموسة، ويؤكد لفرق الأمن السيبراني أن وحدات الترفيه والمعلومات (IVI) يجب أن تعامل كمنصات حوسبة متكاملة تتطلب ضوابط صلاحيات فائقة الدقة لمنع تحول أي مدخل محلي إلى نقطة ارتكاز لاختراق المنظومة بالكامل.
