安全研究人员曝光多款电动汽车充电器与充电网络存在的隐患

来源:知道创宇2021.08.04

英国网络安全公司 Pen Test Partners,刚刚曝光了在六个家用电动汽车充电品牌、以及一个大型公共 EV 充电网络 API 中的几个安全漏洞。随着 IoT 即将在人们的家庭与车辆中无处不在,本次调查给出了物联网设备监管不力的最新实例,且涉及 Project EV、Wallbox、EVBox、EO Charging 的 EO Hub / EO mini pro 2、Rolec、以及 Hypervolt 这个六个不同的 EV 充电品牌。

b769cb60a142762

问题还涉及 Chargepoint 公共充电网络的 API(资料图 via Mitsubishi)

安全研究人员 Vangelis Stykas 指出,这些漏洞或允许黑客劫持用户账户、阻碍充电、甚至将其中一款充电器编程入侵用户家庭网络的“后门”。

若公共充电网络遭到黑客攻击,还可能导致电费窃取、以及通过开启 / 关闭充电器而造成电网波动。

79ebd72eb228788

举个例子,一款 Wallbox 充电器使用了基于树莓派的计算模块。得益于较低的成本,它常被业余爱好者和程序员所使用。

然而 Pen Test Partners 创始人 Ken Munro 警告称:

这个伟大的爱好者兼教育计算平台,其实并不适合商业应用,因为它缺乏所谓的‘安全加载引导程序’。

这意味着任何能够物理接触到用户家庭外部充电器硬件的攻击者,都可利用这个跳板来打开它、并窃取用户的 Wi-Fi 凭据。

尽管概率相对较低,但他还是认为充电器供应商不该如此草率地让用户面临额外的风险。

而且相关操作对黑客来说实在太简单了,我甚至可以在五分钟内教会你该怎么做。

90e5bd0eb9cdef6

充电器中的树莓派硬件

该公司上周发布的报告,还涉及由 EVRoaming 基金会维护与管理的、与开放式充电接口等新兴协议相关的漏洞。

该协议旨在用户能够在不同充电网络之间实现无缝充电连接,而 Munro 也将之比作 EV 充电领域的“运营商之间的漫游”。

目前 OCPI 尚未被广泛使用,但若不加以解决,相关问题迟早会导致一个平台中的漏洞被扩散到另一平台。

d41fbcd3f12a3e5

Pen Test Partners 补充道:Wallbox 在其 API 中有两个独立的非安全直接对象调用,或导致账户被攻击者劫持。此外针对 EV 充电站的黑客攻击,也将造成相当恶劣的影响。

由于电网并非为电力消耗的大幅波动而设计,若黑客能够开启 / 关闭足够数量的直流快速充电器,那无需耗费太多的时间,就会让电网遭遇过载。

Munro 指出:“我们无意中制造了一种可让其他人来对付自己的网络武器”。

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态