在流行的电动汽车充电器中发现安全漏洞

英国网络安全公司 Pen Test Partners 在六个家用电动汽车充电品牌和一个大型公共电动汽车充电网络的 API 中发现了几个漏洞。虽然充电器制造商解决了大部分问题,但调查结果是物联网设备监管不力的最新例子,物联网设备即将在我们的家庭和车辆中无处不在。

在六个不同的电动汽车充电品牌——Project EV、Wallbox、EVBox、EO Charging 的 EO Hub 和 EO mini pro 2、Rolec 和 Hypervolt——以及公共充电网络 Chargepoint 的 API 中发现了漏洞。安全研究人员 Vangelis Stykas 发现了多个品牌中的几个安全漏洞,这些漏洞可能允许恶意黑客劫持用户帐户,阻碍充电,甚至将其中一个充电器变成进入所有者家庭网络的“后门”。

公共充电站网络遭到黑客攻击的后果可能包括以司机账户为代价窃取电力以及打开或关闭充电器。

一些 EV 充电器使用 Raspberry Pi 计算模块,这是一种经常被业余爱好者和程序员使用的低成本计算机。

“Pi 是一个伟大的爱好者和教育计算平台,但在我们看来,它不适合商业应用,因为它没有所谓的‘安全引导加载程序’,”Pen Test Partners 创始人 Ken Munro 告诉 TechCrunch。“这意味着任何可以物理访问您家外部(因此可以访问您的充电器)的人都可以打开它并窃取您的 Wi-Fi 凭据。是的,风险很低,但我认为充电器供应商不应该让我们面临额外的风险。”

Munro 说,这些黑客攻击“真的相当简单”。“我可以在五分钟内教你做这件事,”他补充道。

该公司上周末发布的报告涉及与由 EVRoaming 基金会维护和管理的开放充电点接口等新兴协议相关的漏洞。该协议旨在使不同充电网络和运营商之间的充电无缝连接。

Munro 将其比作手机漫游,允许司机使用他们通常充电网络之外的网络。OCPI 目前还没有被广泛使用,因此这些漏洞可以设计在协议之外。但如果不加以解决,这可能意味着“一个平台中的漏洞可能会在另一个平台上造成漏洞,”Stykas 解释说。

随着越来越多的交通运输变得电气化以及更多的电力流经电网,对充电站的黑客攻击已成为一种特别恶劣的威胁。电网不是为电力消耗的大幅波动而设计的——但这正是可能发生的情况,如果有大量黑客打开或关闭足够数量的直流快速充电器。

“不需要花费太多时间就可以使电网过载,”Munro 说。“我们无意中制造了一种其他人可以用来对付我们的网络武器。”

网络安全的“狂野西部”

虽然对电网的影响是电动汽车充电器独有的,但网络安全问题并非如此。例行的黑客攻击揭示了物联网设备中更多的地方性问题,在这些设备中,率先上市往往优先于良好的安全性——而监管机构几乎无法跟上创新的步伐。

“真的没有很多执法,”消费者报告消费者隐私和技术政策主管贾斯汀布鲁克曼在最近的一次采访中告诉 TechCrunch。美国的数据安全执法属于联邦贸易委员会的职权范围。但是,虽然书中有一项通用的消费者保护法规,“建立一个安全性差的系统很可能是非法的,这只是你是否会被强制执行,”布鲁克曼说。

一项单独的联邦法案,即物联网网络安全改进法案,于去年 9 月通过,但仅广泛适用于联邦政府。

州一级的运动只是稍微多一点。2018 年,加利福尼亚州通过了一项法案,从 2020 年开始禁止在新的消费电子产品中使用默认密码——这无疑是有益的进步,但这在很大程度上将数据安全的负担放在了消费者手中。加利福尼亚以及科罗拉多和弗吉尼亚等州也通过了法律,要求对物联网设备采取合理的安全措施。

这样的法律是一个良好的开端。但是(无论好坏)FTC 与美国食品和药物管理局不同,后者在消费品进入市场之前对其进行审核。截至目前,在技术设备到达消费者手中之前没有对其进行安全检查。在英国,“现在这里也是狂野的西部,”芒罗说。

一些初创公司已经出现,试图解决这个问题。一个是Thistle Technologies,它正试图帮助物联网设备制造商将机制集成到他们的软件中以接收安全更新。但仅靠私营企业不太可能完全解决这个问题。

由于 EV 充电器可能对电网构成独特的威胁,因此 EV 充电器有可能属于关键基础设施法案的范围。上周,乔拜登总统发布了一份备忘录,呼吁加强关键基础设施相关系统的网络安全。拜登说:“控制这种基础设施的系统的退化、破坏或故障可能对美国的国家和经济安全造成重大损害。” 这是否会渗透到消费品是另一个问题。

原作者:Aria Alamalhodaei