《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 安全研究人員曝光多款電動汽車充電器與充電網(wǎng)絡存在的隱患

安全研究人員曝光多款電動汽車充電器與充電網(wǎng)絡存在的隱患

2021-08-05
來源:安全圈

  英國網(wǎng)絡安全公司 Pen Test Partners,剛剛曝光了在六個家用電動汽車充電品牌、以及一個大型公共 EV 充電網(wǎng)絡 API 中的幾個安全漏洞。隨著 IoT 即將在人們的家庭與車輛中無處不在,本次調(diào)查給出了物聯(lián)網(wǎng)設備監(jiān)管不力的最新實例,且涉及 Project EV、Wallbox、EVBox、EO Charging 的 EO Hub / EO mini pro 2、Rolec、以及 Hypervolt 這個六個不同的 EV 充電品牌。

  問題還涉及 Chargepoint 公共充電網(wǎng)絡的 API(資料圖 via Mitsubishi)

  安全研究人員 Vangelis Stykas 指出,這些漏洞或允許黑客劫持用戶賬戶、阻礙充電、甚至將其中一款充電器編程入侵用戶家庭網(wǎng)絡的“后門”。

  若公共充電網(wǎng)絡遭到黑客攻擊,還可能導致電費竊取、以及通過開啟 / 關閉充電器而造成電網(wǎng)波動。

  舉個例子,一款 Wallbox 充電器使用了基于樹莓派的計算模塊。得益于較低的成本,它常被業(yè)余愛好者和程序員所使用。

  然而 Pen Test Partners 創(chuàng)始人 Ken Munro 警告稱:

  這個偉大的愛好者兼教育計算平臺,其實并不適合商業(yè)應用,因為它缺乏所謂的‘安全加載引導程序’。

  這意味著任何能夠物理接觸到用戶家庭外部充電器硬件的攻擊者,都可利用這個跳板來打開它、并竊取用戶的 Wi-Fi 憑據(jù)。

  盡管概率相對較低,但他還是認為充電器供應商不該如此草率地讓用戶面臨額外的風險。

  而且相關操作對黑客來說實在太簡單了,我甚至可以在五分鐘內(nèi)教會你該怎么做。

  充電器中的樹莓派硬件

  該公司上周發(fā)布的報告,還涉及由 EVRoaming 基金會維護與管理的、與開放式充電接口等新興協(xié)議相關的漏洞。

  該協(xié)議旨在用戶能夠在不同充電網(wǎng)絡之間實現(xiàn)無縫充電連接,而 Munro 也將之比作 EV 充電領域的“運營商之間的漫游”。

  目前 OCPI 尚未被廣泛使用,但若不加以解決,相關問題遲早會導致一個平臺中的漏洞被擴散到另一平臺。

  Pen Test Partners 補充道:Wallbox 在其 API 中有兩個獨立的非安全直接對象調(diào)用,或?qū)е沦~戶被攻擊者劫持。此外針對 EV 充電站的黑客攻擊,也將造成相當惡劣的影響。

  由于電網(wǎng)并非為電力消耗的大幅波動而設計,若黑客能夠開啟 / 關閉足夠數(shù)量的直流快速充電器,那無需耗費太多的時間,就會讓電網(wǎng)遭遇過載。

  Munro 指出:“我們無意中制造了一種可讓其他人來對付自己的網(wǎng)絡武器”。




電子技術圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。