专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

当心你的充电桩：黑客通过充电线入侵电动汽车充电设施

网空闲话plus · 公众号 · · 2024-10-25 07:28

正文

研究人员Wilco van Beijnum和Sebastiaan Laro Tol周四（10月24日）在阿姆斯特丹举行的Hardwear.io会议上发布研究成果，称电动汽车充电站存在严重的网络安全漏洞。他们测试了13家制造商的设备，发现其中一半产品存在缺陷，包括SSH、HTTP等不安全端口的暴露。这些漏洞可能导致攻击者获取充电站配置访问权限、通过破坏电网稳定性引发停电，甚至利用恶意或受感染的汽车入侵充电站。这些成果揭示了充电站在设计和实施中普遍缺乏网络安全意识，尤其是初创公司或发展中的公司。暴露的服务和薄弱的密码防护使得攻击者可以轻易地进行网络攻击，这不仅威胁到充电站的运营安全，还可能对电网稳定性和用户隐私造成严重影响。

随着电动汽车的广泛应用，针对充电设施的黑客攻击可能产生严重且深远的影响。首先，充电站的安全性直接关系到电动汽车用户的充电体验和信任度。频繁的安全事件可能导致用户对电动汽车的接受度下降。其次，电网的稳定性受到威胁，一旦攻击者通过充电站进入电网，可能引发更大规模的电力系统崩溃。此外，用户隐私泄露风险增加，充电站收集的支付信息和个人数据可能被滥用。

为应对这些挑战，研究人员提出了一些简单的安全修复措施，如配置防火墙以阻止未授权访问、改进访问控制等。同时，政府和行业组织也在推动立法和标准制定，如欧盟的网络和信息系统指令（NIS2）等，以提高充电站的网络安全要求。这些措施的实施将有助于提升充电站的安全性，保障电动汽车行业的健康发展。

结论

虽然研究没有发现一个充电站拥有从充电线访问到远程代码执行的完整漏洞链，但他们相信这种攻击绝对是可行的。可以通过暴力破解或重复使用发现的凭据，或滥用发现的服务中的漏洞来访问暴露的服务。特别是对于充电站上的Web服务器，研究人员发现其他充电站中存在许多严重漏洞，例如允许绕过登录屏幕、无需身份验证即可访问敏感信息或获得代码执行。一旦攻击者获得充电站的访问权限，就可以修改后端服务器以向攻击者发送付款，攻击者可以克隆使用过的充电卡，或者可以操纵充电站的运行以操纵电网稳定性并导致停电，或者勒索CPO。