Was auf den ersten Blick wie eine technische Kuriosität wirkt, verweist bei näherer Betrachtung auf einen ernsten Kern. Beim Hackerwettbewerb Pwn2Own Automotive 2026 in Tokio gelang es Sicherheitsforschern, den bekannten Ego-Shooter „Doom“ auf einer Schnellladesäule auszuführen. Der Vorfall sorgte für Aufmerksamkeit, weil er exemplarisch zeigt, wie angreifbar vernetzte Systeme im Mobilitätsumfeld sein können – selbst dort, wo man sie im Alltag kaum als Computer wahrnimmt.
Im Mittelpunkt stand eine Ladesäule des italienischen Herstellers Alpitronic. Am dritten und letzten Wettbewerbstag schleuste ein dreiköpfiges Team unter dem Namen Juurin Oy eine spielbare Version von Doom auf einen Hypercharger des Typs HYC50 ein. Möglich wurde dies durch die Ausnutzung eines sogenannten Time-of-Check-to-Time-of-Use-Fehlers, kurz Toctou-Bug. Dabei entsteht eine zeitliche Lücke zwischen einer Sicherheitsprüfung und der tatsächlichen Nutzung einer Ressource, die sich unter bestimmten Bedingungen für das Einschleusen fremden Codes missbrauchen lässt.
Der sichtbare Effekt – ein laufendes Spiel samt Steuerelementen – war dabei weniger entscheidend als der technische Nachweis, dass sich eine Schwachstelle reproduzierbar ausnutzen ließ. Für den erfolgreichen Angriff erhielt das Team vier Wettkampfpunkte sowie ein Preisgeld von 20.000 US-Dollar (ca. 16.900 Euro). Zusätzlich gelang es denselben Forschern, ein Infotainmentsystem von Kenwood zu kompromittieren, was weitere 5000 US-Dollar (ca. 4200 Euro) einbrachte. Für eine Spitzenplatzierung reichte diese Kombination zwar nicht, der symbolische Charakter des Doom-Runs verschaffte dem Team jedoch besondere Aufmerksamkeit.
Pwn2Own als kontrolliertes Testfeld für reale Produkte
Der Kontext des Wettbewerbs ist dabei zentral für die Einordnung. Bei Pwn2Own nehmen sich Sicherheitsforscher gezielt reale Produkte vor, um bislang unbekannte Schwachstellen offenzulegen. Veranstaltet wird das Format von der Zero Day Initiative des IT-Sicherheitsunternehmens Trend Micro. Gelingt ein Angriff, erhalten die betroffenen Hersteller die Details, um Korrekturen zu entwickeln. Alle Teilnehmenden unterzeichnen dafür Vertraulichkeitsvereinbarungen, weshalb technische Einzelheiten zunächst nicht öffentlich werden.
Vor diesem Hintergrund ordnete Alpitronic den Vorfall öffentlich ein. Das Unternehmen betont, gezielt an der Pwn2Own 2026 teilgenommen zu haben, um die eigenen Systeme unter realistischen Angriffsbedingungen testen zu lassen. Nach Angaben des Herstellers sei die konkret ausgenutzte Schwachstelle ausschließlich während eines Software-Updates angreifbar gewesen. Zusätzlich habe der Angriff physischen Zugriff sowohl auf die Ladesäule als auch auf das Webinterface erfordert, was die praktische Ausnutzbarkeit im laufenden Betrieb erheblich einschränke.
Unabhängig davon hat Alpitronic einen internen Prozess zur Behandlung der Schwachstelle gestartet. Dieser umfasst eine Bedrohungsanalyse, eine Risikobewertung sowie die Entwicklung und Umsetzung technischer Gegenmaßnahmen. Sobald eine korrigierte Softwareversion verfügbar ist, sollen die Betreiber der Ladesäulen informiert und mit Updates versorgt werden.
Quelle: Alpitronic – Per Mail / Golem – Hacker zocken Doom auf geknackter E-Auto-Ladesäule / Heise – Pwn2Own-Automotive-Wettbewerb: Ladesäule geknackt, um „Doom“ zu spielen
Wird geladen...