研究人员揭示 EV 充电站管理系统的脆弱性并提出保护建议

来源:知道创宇2022.01.18

随着道路上电动汽车数量的增加,对电动汽车(EV)充电站和这些充电站内基于互联网的管理系统的需求也在增加。然而这些管理系统面临着自己的问题:网络安全攻击。

6bf2bf8b2f29f2c

资料图

UTSA网络安全和分析中心主任Elias Bou-Harb及其同事–迪拜大学的Claud Fachkha和蒙特利尔康科迪亚大学的Tony Nasr、Sadegh Torabi和Chadi Assi–正在揭示这些网络系统的脆弱性。

另外,他们还建议采取一些措施以保护这些网络免受伤害。

EV内置的系统通过互联网履行关键职责,包括远程监控和客户计费,并且越来越多的联网EV充电站也是如此。

Bou-Harb和他的研究人员希望探索针对EV充电系统的网络攻击的现实影响及如何利用网络安全对策来减轻它们。他的团队还评估了被利用的系统如何攻击关键基础设施,如电网。

“电动汽车是当今的常态。然而,它们的管理站很容易受到安全漏洞的影响,”Bou-Harb指出,“在这项工作中,我们努力发现它们的相关安全弱点并了解它们对EV和智能电网的影响,同时提供建议并跟相关行业分享我们的发现以便主动进行安全补救。”

据悉 ,该研究团队确定了16个EV充电管理系统,他们将这些系统分为独立的类别,如固件、移动和网络应用。他们对每个系统进行了深入的安全分析。

Bou-Harb表示,他们设计了一个系统查找和收集方法以此来确定大量的EV充电系统,然后利用逆向工程和白/黑盒网络应用渗透测试技术展开彻底的漏洞分析。

据了解,该团队在这16个系统中发现了一系列漏洞,并且还特别强调了13个最严重的漏洞,如缺少认证和跨网站脚本。通过利用这些漏洞,攻击者可以造成一些问题–包括操纵固件或伪装成实际用户并访问用户数据。

根据研究人员最近的一份白皮书研究显示,虽然有可能对EV生态系统内的各种实体进行不同的攻击,但在这项工作中,研究人员重点调查了对被攻击的充电站、其用户和连接的电网有严重影响的大规模攻击。

在这个项目中,该团队为开发者制定了若干安全措施、准则和最佳实践以减轻网络攻击。林外,他们还创建了对策来修补他们发现的每个单独的漏洞。

为了防止对电网的大规模攻击,研究人员建议开发商修补现有的漏洞,但也要在充电站的制造过程中纳入初步的安全措施。

“许多行业成员已经承认了我们发现的漏洞,”Bou-Harb说道,“这些信息将有助于对这些充电站进行免疫以保护公众,另外还能为EV和智能电网背景下的未来安全解决方案提供建议。”

研究人员计划继续分析更多的充电站以进一步了解其安全态势。他们还在跟几个行业伙伴合作来帮助从设计阶段形成新的安全产品并制定安全弹性措施进而保护脆弱的充电站不被利用。

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态