Pesquisadores franceses descobriram duas vulnerabilidades de dia zero no painel do Tesla. Ao explorar essas duas vulnerabilidades críticas, eles conseguiram assumir o controle do sistema e potencialmente roubar dados confidenciais.
Pwn2Own Automotive 2026, uma competição de hackers dedicada às tecnologias automotivas, acaba de abrir suas portas em Tóquio. Desde o primeiro dia, os pesquisadores de segurança cibernética atacaram fortemente ao hackear o painel interativo de um Tesla. Os especialistas da Synacktiv realmente descobriram duas vulnerabilidades no sistema multimídia de bordo dos carros elétricos de Elon Musk. Estas são exclusivamente falhas de dia zero, ou seja, desconhecidas do fabricante do automóvel.
Verificado! @synacktiv.com encadeou duas vulnerabilidades – um vazamento de informações e uma gravação fora dos limites – para obter uma vitória completa na categoria Tesla Infotainment USB-based Attack, ganhando US$ 35.000 e 3,5 pontos Master of Pwn. #Pwn2Own #P2OAuto
[image or embed]
– Iniciativa TrendAI Zero Day (@thezdi.bsky.social) 21 de janeiro de 2026 às 08:51
Leia também: A ameaça das câmeras de painel – como seu carro pode se tornar uma ferramenta de vigilância em massa
Ao explorar as falhas descobertas, especialistas da empresa francesa de cibersegurança conseguiram assumir o controlo do ecrã multimédia de um Tesla em tempo real, no palco do evento. Como explicado pelos nossos colegas de Computador bipandoos pesquisadores primeiro exploraram uma falha que expôs informações internas no sistema. Graças a esta falha, conseguiram recuperar detalhes técnicos ocultos, essenciais para calibrar adequadamente o resto do ataque.
Roubo de dados
Em segundo lugar, os pesquisadores identificaram uma falha de escrita fora dos limites. Essa falha permite que um invasor injete e execute seu próprio código no sistema do painel, com privilégios mais elevados. Ao forçar o sistema a sobrescrever áreas sensíveis, eles conseguiram inserir seu próprio programa e executá-lo na tela do Tesla. Eles então assumiram o controle do sistema.
Uma vez no sistema, eles são capazes deexfiltrar uma montanha de dadoscomo coordenadas. Os sistemas de infoentretenimento geralmente sincronizam com o seu telefone, o que pode fornecer acesso a nomes, números e até mesmo ao seu histórico de chamadas recentes. Pior ainda, eles também podem roubar todos os seus endereços salvos, seus destinos recentes e até mesmo seus itinerários diários. Mensagens, e-mails, playlists, identificadores de rede e dispositivos Bluetooth conectados ao carro também podem ser comprometidos.
Para orquestrar o ataque cibernético, os pesquisadores precisam absolutamenteacesso físico à porta USB do carro. Eles dizem que o alvo da operação é o sistema de infoentretenimento do carro, que é separado das funções críticas de direção. Ainda assim, assumir o controle da tela multimídia poderia servir de trampolim para acessar outras seções do sistema do carro.
Um bônus de 35.000 dólares
Com sua demonstração, os pesquisadores do Synacktiv ganharam US$ 35 mil. Por razões de segurança, os detalhes das vulnerabilidades exploradas no palco não são imediatamente divulgados publicamente. Os fabricantes têm 90 dias após a competição para corrigir as falhas descobertas e liberar uma atualização de segurança para seus dispositivos. Após esse período, a Iniciativa Zero Day da Trend Micro torna públicos os detalhes técnicos para que todos saibam que há uma vulnerabilidade e possam tomar as medidas apropriadas.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.