小心黑客攻擊！你的電動汽車“安全”嗎

電動汽車在全球范圍內的快速增長大大促進私人和公共電動汽車充電設備 (EVSE) 的安裝，但是，網絡安全研究人員最近發現了 在EVSE 設備、電動汽車 (EV) 通信和上游服務（例如 EVSE 供應商云服務、第三方系統和電網運營商）中存在的多個漏洞。黑客若通過這些漏洞對充電系統發起網絡攻擊，會對其產生較為嚴重的破壞，本文調查了公開披露的 EVSE 漏洞、EV 充電器網絡攻擊的影響，并提出了 EV 充電技術的安全保護措施。

一. EVSE存在巨大的網絡安全

未來十年，電動汽車將會繼續增加，充電樁也將隨之批量建設。到2025年，歐盟將會安裝超過100萬個充電樁，以遏制溫室氣體排放。除了電動汽車和充電器在乘用車領域的普及之外，中型和重型（即貨運）應用也越來越多地采用電動汽車。

充電供應商和用戶都在尋求通過各種高度互連和支持互聯網的工具，以優化他們對不斷增長的快速充電網絡需求。因此，EVSE 必須與云服務、EV 及其電池管理系統等進行通信。而與電網、微電網的電源管理和控制的自動化，網絡服務等讓 EVSE 連接變的更復雜。

EVSE 連接的廣度和復雜性造成了巨大的網絡安全問題，并引發了人們的擔憂，即網絡攻擊者可能會使用不安全的充電器作為未經授權的接入點，來濫用充電設備、車輛、建筑物或電網資源。例如電動汽車與經銷商、手機、導航、地圖、遙測、娛樂、基于車輛的網絡瀏覽器、其他車輛、駕駛員輔助系統、空中軟件更新等的接口，使用一系列協議，包括藍牙、GSM Mobile 和 Wi-Fi。自動駕駛電動汽車進一步增加了網絡安全的復雜性，惡意行為者越來越多地瞄準智能手機和車輛系統，以規避無鑰匙進入和遠程啟動。研究人員強調了機載安全關鍵電子控制單元 (ECU) 的操縱會干擾制動、轉向、發動機和電池控制；車輛數據也面臨風險，包括遠程信息處理、跟蹤、客戶、經銷商和保險數據等。

二. EVSE漏洞

目前，業界已經有多個關于EV/EVSE連接竊取賬戶憑證或影響充電的網絡攻擊案例。牛津大學的研究人員 Baker 和 Martinovic 證明，他們可以通過未加密的 ISO 15118/DIN 70121 流量，使用軟件定義無線電 (SDR) ，在 CCS 連接上嗅探輻射 HomePlug Green PHY 數據。

還有研究人員在他們的Brokenwire攻擊演示中，通過中斷 PLC 通信來無線中止充電會話。他們可以使用功率小于 1 W 的 SDR 在 47 m 的距離處中止 CCS 充電會話，并且這種攻擊在他們調查的7輛車和 18 個 EVSE 上都成功了。

CCS通信不提供相互認證，存在MITM攻擊風險；這給計費數據隱私帶來了風險，并且通過竊取 MAC 地址，為用戶跟蹤創造了可能的途徑。愛達荷國家實驗室 (INL) 指出，EV 存在將病毒傳播到 EVSE 的風險，EVSE 會進一步傳播惡意軟件。

安全研究人員通過利用V2G Injector（一種用于讀寫 HomePlug Green PHY 數據的開源工具），復現了攻擊者如何發起網絡攻擊，收集網絡密鑰并將數據注入 CCS 高效 XML 交換 (EXI) 網絡會話。通過將V2G Injector與 Apache 日志包 (Log4j) 漏洞相結合，還可以在EVSE上提升訪問權限。

此外還有數據泄露、會話劫持、中間機器 (MITM)攻擊、拒絕服務 (DoS)、隱私風險和偽裝攻擊等。

三．常見的充電樁漏洞

接下來我們列舉幾項常見的充電樁漏洞。

3.1電動汽車操作界面漏洞

早期的 EVSE 基礎設施容易受到 RFID 克隆和其他授權繞過機制的影響，可以在本地訪問設備。2017 年，弗勞恩霍夫工業數學研究所 (ITWM) 研究員 Mathias Dalheimer 在全球通信大會上展示了公共充電基礎設施中計費交易和 RFID 卡數據存儲方面的薄弱安全實踐，演示了如何以其他人的借記卡或信用卡來繳納充電費用，這類問題在手機、MIFARE Classic（13.56 MHz 非接觸式智能卡）上同樣存在。

另一位安全研究人員INL 在 2014 年至 2017 年間進行了六次 2 級 SAE J1772 EVSE 評估。他們發現一些 EVSE 設備包括專為客戶管理其充電會話而設計的 iOS 和 Android 應用程序。這些應用程序可以很容易地進行逆向工程，以揭示 EVSE 管理和供應商云接口中的弱點。

3.2EVSE 互聯網接口漏洞

EVSE 設備通常包括本地網絡服務器或連接到云環境以中繼來自充電點運營商、EVSE 所有者或司機的信息。我們調查了與互聯網通信相關的漏洞，并將這些漏洞分為 (a) 本地 Web 界面，(b) 可遠程訪問 EVSE 設備，以及 (c) EVSE 與后端系統的通信。在后兩者的情況下，由于可擴展性風險，公共互聯網上的遠程通信尤其令人擔憂。

3.2.1 Web服務漏洞

EVSE 設備的一個常見問題是存在可從智能手機或計算機本地訪問的不安全網絡服務。這些服務應該通過防火墻與更廣泛的互聯網隔離，但這些漏洞可能會通過 EVSE 使家庭和企業網絡遭到破壞。

Pen Test Partners在報告中指出，EVSE 設備存在多個本地 Web 服務問題：EVBox Web API 漏洞允許帳戶劫持；EO mini pro 允許攻擊者在沒有任何身份驗證的情況下更改配置數據；Shenzen Growatt 應用程序編程接口 (API) 允許固件更新，可以訪問家庭網絡等。

此外，安全研究人員還發現了多個漏洞，這些漏洞會影響收費流程、設置/固件、計費、PII 和用戶數據，以及通過僵尸網絡對 Web 端點進行 DDoS 和暴力攻擊的可能性。

卡巴斯基實驗室也發現，ChargePoint 智能手機應用程序可以使用 Web 服務器，利用網關接口 (CGI) 二進制文件中的緩沖區溢出遠程篡改充電會話。該網站漏洞可能會導致充電停止，攻擊者任意調節電源電壓、電流，從而導致斷路器跳閘、線路過熱，或者在最壞的情況下引發火災。

3.2.2 可通過互聯網訪問的 EVSE 服務

阿貢國家實驗室 (ANL) 和伊利諾伊理工學院 (IIT) 在研究中發現，使用 Shodan、Nmap 和SearchSploit 工具可在公共互聯網上定位多個 EVSE 充電器，一些設備還存在運行不必要或過時的服務、弱密碼以及缺少登錄超時的安全功能。

此外還有一些其他的漏洞利用案例。例如西班牙 Circontrol CirCarLife 網絡服務軟件曾公開了系統軟件信息、狀態和關鍵設置信息，未經身份驗證或非特權用戶可以訪問或泄露這些信息。

有安全研究人員曾在SSH 服務上發現了一個弱密鑰交換算法，并且沒有安全保護。還有一些其他漏洞：Web 服務使用未加密的登錄通道，可通過偽造會話存儲 cookie 繞過該通道；使用不安全的密碼或不安全的自簽名證書；SQL 服務器容易泄露數據等。

3.2.3 與后端服務器或云系統的通信

EVSE 供應商、電動汽車服務提供商等大多使用 Amazon Web Services、Google Cloud、Azure 或其他云平臺托管在云中，以提供各種遠程監控或其他服務，但通常會暴露不安全的遠程管理功能。

INL 評估后發現，EVSE 管理應用程序缺乏適當的身份驗證方法，例如客戶端驗證、未加密 HTTP 服務以及更易受 SQL 注入攻擊等。

開放式充電點接口 (OCPI)使用了云通信，允許充電提供商無需下載額外的APP即可向其他提供商收費。但是ChargePoint GraphQL 端點公開暴露了其 API 接口的詳細信息，這可能導致相關的網絡攻擊，并連接到使用了ChargePoint系統的幾十萬個充電器。而開放式充電點協議 (OCPP) 通常用于 EVSE 設備與后端或云網絡之間，以配置充電器和獲取充電統計數據。該協議的早期版本使用未加密的 HTTP，因此存在攔截交易數據的風險。

供應鏈漏洞也是電動汽車充電業務極易遭遇安全風險的地方。2022年初，俄羅斯入侵烏克蘭期間，莫斯科和圣彼得堡之間 M-11 高速公路沿線的 EV 充電器被禁用，并顯示反普京和親烏克蘭的信息。之所以出現這樣的情況，是因為俄羅斯 EV 充電器供應商 Gzhelprom 將組件（包括數據控制器）外包給了烏克蘭公司AutoEnterprise，該公司保持遠程后門訪問和充電功能控制。

3.2.4 EVSE 維護接口和硬件/軟件漏洞

網絡安全研究人員在 EVSE 上運行的硬件和軟件中發現了多個漏洞。Fraunhofer 研究的兩個 EVSE 設備包括 USB 端口，可以復制日志和配置數據，包括 OCPP 服務器登錄名和密碼，以及之前用戶的身份驗證令牌。此外，攻擊者還可修改 USB 驅動器上的配置數據并重新插入EVSE的下一次更新中。

INL 還發現大部分EVSE設備都運行著過時的 Linux 內核，其中包含多余的服務；進程以 root 用戶身份運行，存儲密碼更容易被破解；部分設備不包括安全啟動；固件未簽名；JTAG 接口允許直接控制處理器；可以繞過物理篡改檢測工具等。卡巴斯基實驗室還發現，他們可以使用 EVSE 上的光電二極管接收到的特殊閃爍模式來觸發恢復出廠設置。

Pen Test Partners在報告中指出，EO Mini Pro 2、Hypervolt 和 Wallbox EVSE 設備在其產品中使用了 Raspberry Pi 單板計算機。這些廉價計算機不包含安全引導加載程序，因此它們上的任何數據都可以被物理竊取。

四．充電樁漏洞正在帶來嚴重的安全風險

總的來說，充電樁漏洞正在帶來嚴重的安全風險，涉及EVSE 和 EV 功能和安全、個人和公司隱私、金融運營和電網運營等，甚至還會對 EVSE 附近的人員和設備造成危害、車輛失能、損壞以及干擾電網功能。在這里，我們將影響分解為功能、財務/隱私、安全和電網影響四個方面。

1.充電功能障礙

正如許多網絡安全研究人員所報告的那樣，網絡攻擊可以禁用單個 EVSE 設備、EVSE 車隊或所有供應商擁有的設備。隨著越來越多的交通部門實現電氣化，EVSE 的廣泛中斷可能會嚴重影響一系列關鍵基礎設施：應急和醫療服務、食品和農業、制造業、國防等。INL指出，惡意攻擊者通過利用漏洞，可實現禁用所有充電器，還能從車輛和 EVSE 偽造 SOC，這可以防止車輛完全充電/拒絕充電。

2.財務/隱私影響

未經授權訪問 EVSE 設備或后端管理系統可能導致個人身份信息 (PII) 數據被盜，偽造賬單或泄露支付數據等。這些事件將會潛在影響EVSE 運營商和 EV 司機。正如 Pen Test Partners 研究表明的那樣，不安全的 EVSE 設備的另一個風險是企業間諜活動，因為不安全的設備可能會將企業網絡暴露給對手，然后他們可以竊取敏感軟件或數據。

3.安全影響

EV 和 EVSE 中的安全系統可防止過流事件、電池過度充電和其他危險后果。但如果充電系統被黑客攻擊，那么很有可能導致過度充電風險，甚至是對車輛電池操作發起向量攻擊。無線電力傳輸 (WPT) EVSE 技術也有望在某個時候出現在市場上，這將引發新的安全問題。例如，INL 在其后果分析中指出了 WPT 對醫療設備的潛在安全風險。通過惡意固件更新、權限提升或其他攻擊，可能會允許攻擊者禁用 EVSE 上的網絡安全關鍵保護。

4.對電力系統影響

最近，研究人員一直在研究惡意控制 EVSE 設備如何導致電力系統誤操作。在設備層面，INL 破壞了電力電子模塊之間的協調，產生了 >20% 的總諧波失真，并將功率因數降低到 0.8 以下。對充電基礎設施的網絡攻擊可能會影響電力市場。例如MITM OCPP 攻擊可用于能源盜竊、欺詐，或者在聚合級別上破壞電力運行、發電機調度和經濟調度。

也有安全人員研究了協調負荷操縱對配電和輸電系統的影響。使用高功率設備中斷電力系統運行在理論上是可能的，只要有足夠的可控負載。動態負載調制對電力系統穩定性也存在潛在風險。如果EVSE 總負載增加，并且攻擊者可以控制 EVSE 負載控制器，那么理論上可以操縱大容量電力系統頻率，給電力系統帶來嚴重的安全風險。

五、加強網絡安全防護

美國 DOT Volpe 國家運輸系統中心、國家汽車貨運協會牽頭的一項主要活動，為中型和重型車輛的 XFC 站制定了廣泛的要求清單。參與機構包括聯邦機構、電動卡車原始設備制造商、充電站供應商和公用事業等，涉及設計、日志記錄、生命周期和治理、密碼學、通信、保證、強化、彈性和安全操作等領域。

歐盟也在加強這方面的網絡安全防護，聯合歐洲各國共同制作了多個參考文件，其中涵蓋風險評估、安全架構、EV充電基礎設施的采購和安全要求，以及 EV 充電站的安全測試計劃等。

越來越多的企業和機構正在持續強化EV/EVSE的網絡安全防護，包括建議 CCS 會話在中斷后重新進行身份驗證，研究人員還為 EV 到 EVSE 通信系統設計了多項安全改進措施。為了更好地保護 EVSE 互聯網接口，許多研究人員建議提供更強大的加密和 TLS 技術。根據 NISTIR 7628 密碼學和密鑰管理指南，建議端到端加密以提供計量、計費和收費數據完整性和更高的機密性。

INL 開發了診斷安全模塊 (DSM)，以在基于協處理器的入侵檢測系統的基礎上，提供 EV 到EVSE的安全性。DSM 旨在與 EV、EVSE 和能源管理系統 (BEMS) 集成，以便向 BEMS 操作員報告可疑或異常行為。

上文指出，用戶身份驗證機制很薄弱，因此許多研究人員建議通過 Lamport 的登錄、基于密鑰的質詢-響應對、多樣化密鑰或帶有綁定到 PKI 的私鑰的 RFID 對客戶身份進行更強的驗證。

另外，美國國家可再生能源實驗室 (NREL) 列舉了許多風險緩解技術和潛在的采購要求，以保護對 EVSE 的物理訪問和遠程訪問。他們建議使用 256 位密碼套件加密靜態數據和動態數據，刪除所有外部端口，添加篡改警報，并使用聯邦風險和授權管理計劃 (FedRAMP) 認證云服務。

Gottumukkala 建議通過設計安全原則、軟件安全性、硬件安全性以及篡改監控和抵抗來增強 EVSE 安全性。EPRI 研究了一種安全網絡接口卡 (S-NIC)，它封裝了 EVSE 子系統通信并包括安全啟動和防篡改技術等。

六、討論

工業控制系統網絡安全涉及識別和改進系統弱點，這是一個永無止境的過程。漏洞研究是展示對 EVSE 安全的最先進和深刻需求的關鍵工具。正如上文提及的那樣，EVSE 制造商和網絡運營商應建立健全的網絡安全計劃，使制造商和運營商能夠不斷降低電動汽車充電生態系統的風險。而維持一個活躍的白帽黑客社區，致力于識別 EV 充電器中的弱點，將有助于保護 EVSE 系統免受惡意對手的攻擊。負責任的披露模型為供應商和研究人員都帶來了好處：發現的漏洞將報告給適當的組織進行調解，然后與研究社區共享，以在未來更好地保護 EV 充電系統。

隨著交通運輸行業進一步電氣化，EVSE 安全對于維持關鍵的機動性、航運和電力系統運行至關重要。在過去多年，在 EV 到 EVSE、EV 運營商、互聯網/蜂窩/云和維護接口中發現了多個漏洞，這些漏洞對 EV 運營商隱私、運營商安全、金融系統和電力系統運營構成了重大風險。

幸運的是，已經提出了一些新的指南、最佳實踐、安全技術和實施建議來解決電動汽車充電的弱點。網絡安全研究界、EVSE 行業和其他利益相關者需繼續共同努力，實施實用且面向未來的安全解決方案，以彌補生態系統安全態勢方面的差距。EVSE 供應商必須整合持續流程，通過內部和外部評估以及漏洞賞金計劃來強化其基礎設施。

未來的研究應包括擴大 EVSE 滲透測試的范圍和深度，開發 EVSE 定制的基于網絡和主機的入侵檢測系統，納入零信任原則，并進一步探索電力、安全和其他影響。