安全研究人员曝光多款电动汽车充电器与充电网络存在的隐患

安全研究人员曝光多款电动汽车充电器与充电网络存在的隐患

问题还涉及 Chargepoint 公共充电网络的 API(资料图 via Mitsubishi)

安全研究人员 Vangelis Stykas 指出,这些漏洞或允许黑客劫持用户账户、阻碍充电、甚至将其中一款充电器编程入侵用户家庭网络的“后门”。

若公共充电网络遭到黑客攻击,还可能导致电费窃取、以及通过开启 / 关闭充电器而造成电网波动。

安全研究人员曝光多款电动汽车充电器与充电网络存在的隐患

举个例子,一款 Wallbox 充电器使用了基于树莓派的计算模块。得益于较低的成本,它常被业余爱好者和程序员所使用。

然而 Pen Test Partners 创始人 Ken Munro 警告称:

这个伟大的爱好者兼教育计算平台,其实并不适合商业应用,因为它缺乏所谓的‘安全加载引导程序’。

这意味着任何能够物理接触到用户家庭外部充电器硬件的攻击者,都可利用这个跳板来打开它、并窃取用户的 Wi-Fi 凭据。

尽管概率相对较低,但他还是认为充电器供应商不该如此草率地让用户面临额外的风险。

而且相关操作对黑客来说实在太简单了,我甚至可以在五分钟内教会你该怎么做。

Pi.png

充电器中的树莓派硬件

该公司上周发布的报告,还涉及由 EVRoaming 基金会维护与管理的、与开放式充电接口等新兴协议相关的漏洞。

该协议旨在用户能够在不同充电网络之间实现无缝充电连接,而 Munro 也将之比作 EV 充电领域的“运营商之间的漫游”。

目前 OCPI 尚未被广泛使用,但若不加以解决,相关问题迟早会导致一个平台中的漏洞被扩散到另一平台。

ev-ch-4.png

Pen Test Partners 补充道:Wallbox 在其 API 中有两个独立的非安全直接对象调用,或导致账户被攻击者劫持。此外针对 EV 充电站的黑客攻击,也将造成相当恶劣的影响。

由于电网并非为电力消耗的大幅波动而设计,若黑客能够开启 / 关闭足够数量的直流快速充电器,那无需耗费太多的时间,就会让电网遭遇过载。

Munro 指出:“我们无意中制造了一种可让其他人来对付自己的网络武器”。

原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/39170.html

(0)
上一篇 2021年8月4日
下一篇 2021年8月4日

相关推荐

发表回复

登录后才能评论