英国安全研究人员曝光英多款电动汽车充电器与充电网络存在的隐患

2021-08-04 11:14  来源:cnBeta.COM  浏览:  

英国网络安全公司 Pen Test Partners,刚刚曝光了在六个家用电动汽车充电品牌、以及一个大型公共 EV 充电网络 API 中的几个安全漏洞。随着 IoT 即将在人们的家庭与车辆中无处不在,本次调查给出了物联网设备监管不力的最新实例,且涉及 Project EV、Wallbox、EVBox、EO Charging 的 EO Hub / EO mini pro 2、Rolec、以及 Hypervolt 这个六个不同的 EV 充电品牌。

问题还涉及 Chargepoint 公共充电网络的 API(资料图 via Mitsubishi)

安全研究人员 Vangelis Stykas 指出,这些漏洞或允许黑客劫持用户账户、阻碍充电、甚至将其中一款充电器编程入侵用户家庭网络的“后门”。

若公共充电网络遭到黑客攻击,还可能导致电费窃取、以及通过开启 / 关闭充电器而造成电网波动。

举个例子,一款 Wallbox 充电器使用了基于树莓派的计算模块。得益于较低的成本,它常被业余爱好者和程序员所使用。

然而 Pen Test Partners 创始人 Ken Munro 警告称:

这个伟大的爱好者兼教育计算平台,其实并不适合商业应用,因为它缺乏所谓的‘安全加载引导程序’。

这意味着任何能够物理接触到用户家庭外部充电器硬件的攻击者,都可利用这个跳板来打开它、并窃取用户的 Wi-Fi 凭据。

尽管概率相对较低,但他还是认为充电器供应商不该如此草率地让用户面临额外的风险。

而且相关操作对黑客来说实在太简单了,我甚至可以在五分钟内教会你该怎么做。


充电器中的树莓派硬件

该公司上周发布的报告,还涉及由 EVRoaming 基金会维护与管理的、与开放式充电接口等新兴协议相关的漏洞。

该协议旨在用户能够在不同充电网络之间实现无缝充电连接,而 Munro 也将之比作 EV 充电领域的“运营商之间的漫游”。

目前 OCPI 尚未被广泛使用,但若不加以解决,相关问题迟早会导致一个平台中的漏洞被扩散到另一平台。

Pen Test Partners 补充道:Wallbox 在其 API 中有两个独立的非安全直接对象调用,或导致账户被攻击者劫持。此外针对 EV 充电站的黑客攻击,也将造成相当恶劣的影响。

由于电网并非为电力消耗的大幅波动而设计,若黑客能够开启 / 关闭足够数量的直流快速充电器,那无需耗费太多的时间,就会让电网遭遇过载。

Munro 指出:“我们无意中制造了一种可让其他人来对付自己的网络武器”。

免责声明:本网转载自合作媒体、机构或其他网站的信息,登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其内容的真实性。本网所有信息仅供参考,不做交易和服务的根据。本网内容如有侵权或其它问题请及时告之,本网将及时修改或删除。凡以任何方式登录本网站或直接、间接使用本网站资料者,视为自愿接受本网站声明的约束。
相关推荐
千亿元级换电市场频入重磅玩家 谁将成为新能源车领域的“卖水人”?

千亿元级换电市场频入重磅玩家 谁将成为新能源车领域的“卖水人”?

随着全新换电品牌EVOGO应声发布,宁德时代正式进军换电市场。据悉,此次宁德时代推出包括换电块、快换站等换电解决方案,这意味着其有意成为新能源车领域的“卖水人”。
着眼大棋局 中国汽车业落子更精准

着眼大棋局 中国汽车业落子更精准

2021年,中国经济在风险挑战中破浪前行,而中国汽车市场交出了一张令人瞩目的发展答卷。
安装充电桩 小区车位不足怎么办

安装充电桩 小区车位不足怎么办

随着政府配套政策逐步完善、相关职能部门放管服改革深化、电桩运营企业经营模式创新以及新能源车企配建私桩服务延伸,我国已建成全球最大规模的充电设施网络。然而,调查显示,截至2021年底,仍有约一半新能源车主未随车配建充电设施。
澳大利亚工程师新发明:无需接入电网 用废弃食用油为电动车充电

澳大利亚工程师新发明:无需接入电网 用废弃食用油为电动车充电

充电一直以来都是制约电动汽车使用和普及的关键因素,在许多偏远的地方都很难找到充电桩。最近,一名澳大利亚工程师乔恩·爱德华兹发明了一套系统,无需接入电网,以厨房废弃的食用油作能源,为电动汽车充电。
大众汽车和博世将成立合资公司 推动欧洲电池生产

大众汽车和博世将成立合资公司 推动欧洲电池生产

合资公司预计将帮助大众汽车实现在2030年前建立六家电池工厂的目标,但它也将为欧洲其他工厂提供服务。两家公司没有透露他们将在该合资企业中投资多少资金。

推荐阅读

Copyright © 能源界