首页 > 业界 > 关键词  > 充电器最新资讯  > 正文

安全研究人员曝光多款电动汽车充电器与充电网络存在的隐患

2021-08-04 10:22 · 稿源: cnbeta

英国网络安全公司 Pen Test Partners,刚刚曝光了在六个家用电动汽车充电品牌、以及一个大型公共 EV 充电网络 API 中的几个安全漏洞随着 IoT 即将在人们的家庭与车辆中无处不在,本次调查给出了物联网设备监管不力的最新实例,且涉及 Project EV、Wallbox、EVBox、EO Charging 的 EO Hub / EO mini pro2、Rolec、以及 Hypervolt 这个六个不同的 EV 充电品牌。

安全研究人员 Vangelis Stykas 指出,这些漏洞或允许黑客劫持用户账户、阻碍充电、甚至将其中一款充电器编程入侵用户家庭网络的“后门”。

若公共充电网络遭到黑客攻击,还可能导致电费窃取、以及通过开启 / 关闭充电器而造成电网波动。

举个例子,一款 Wallbox 充电器使用了基于树莓派的计算模块。得益于较低的成本,它常被业余爱好者和程序员所使用。

然而 Pen Test Partners 创始人 Ken Munro 警告称:

这个伟大的爱好者兼教育计算平台,其实并不适合商业应用,因为它缺乏所谓的‘安全加载引导程序’。

这意味着任何能够物理接触到用户家庭外部充电器硬件的攻击者,都可利用这个跳板来打开它、并窃取用户的 Wi-Fi 凭据。

尽管概率相对较低,但他还是认为充电器供应商不该如此草率地让用户面临额外的风险。

而且相关操作对黑客来说实在太简单了,我甚至可以在五分钟内教会你该怎么做。

该公司上周发布的报告,还涉及由 EVRoaming 基金会维护与管理的、与开放式充电接口等新兴协议相关的漏洞。

该协议旨在用户能够在不同充电网络之间实现无缝充电连接,而 Munro 也将之比作 EV 充电领域的“运营商之间的漫游”。

目前 OCPI 尚未被广泛使用,但若不加以解决,相关问题迟早会导致一个平台中的漏洞被扩散到另一平台。

Pen Test Partners 补充道:Wallbox 在其 API 中有两个独立的非安全直接对象调用,或导致账户被攻击者劫持。此外针对 EV 充电站的黑客攻击,也将造成相当恶劣的影响。

由于电网并非为电力消耗的大幅波动而设计,若黑客能够开启 / 关闭足够数量的直流快速充电器,那无需耗费太多的时间,就会让电网遭遇过载。

Munro 指出:“我们无意中制造了一种可让其他人来对付自己的网络武器”。

举报

  • 相关推荐

热文

  • 3 天
  • 7天