電動汽車充電站曝出大量安全漏洞

隨著道路上電動汽車數量不斷增加，對電動汽車充電樁/站和充電站聯網管理系統的需求也在增加。然而，這些管理系統正面臨著一個潛伏的殺手：網絡攻擊。

電動汽車充電站的盲區：網絡攻擊

最新的安全研究顯示，電動車充電基礎設施存在大量安全漏洞。UTSA網絡安全與分析中心主任Elias Bou-Harb和他的同事——迪拜大學的Claud Fachkha和蒙特利爾康考迪亞大學的Tony Nasr、Sadegh Torabi和Chadi Assim在一篇論文中調查并分析了這些漏洞，同時還給出了安全加固的建議。

全球主流的電動汽車管理系統（EVCSMS）需要通過互聯網執行關鍵任務，例如遠程監控和客戶計費，越來越多的互聯網電動汽車充電站也是如此。

在最新的研究項目中，Bou-Harb和他的同事就網絡攻擊對電動汽車充電系統的現實影響，以及如何緩解這些網絡安全威脅進行了研究。該團隊還評估了被利用的電動車充電站系統將如何攻擊電網等關鍵基礎設施。

“電動汽車是當今社會的新常態。然而，很少有人知道電動汽車的充電站非常容易受到安全漏洞的影響。”Bou-Harb說。“在這項工作中，我們努力發現它們相關的安全漏洞，并了解它們對電動汽車和智能電網的影響，同時提供建議并與相關行業分享我們的發現，以進行主動安全補救。”

13個高危漏洞，可危及智能電網

該團隊對市場上常見的16個電動汽車充電管理系統按照固件、移動程序和Web應用等不同攻擊面進行分類并進行了深入的安全分析。

“我們設計了一種系統查找和收集方法來識別大量電動汽車充電系統，然后利用逆向工程和白盒/黑盒Web應用程序滲透測試技術來執行徹底的漏洞分析。”Bou-Harb說。

圖示：研究人員識別和分析聯網電動車管理系統的方法

該團隊在16個系統中發現了一系列漏洞（下圖），其中13個屬于嚴重漏洞，例如缺少身份驗證和跨站點腳本。通過利用這些漏洞，攻擊者可能會導致一些問題，包括操縱固件或將自己偽裝成實際用戶以及訪問用戶數據。

根據研究人員最近的一份白皮書，“雖然可以對電動汽車生態系統中的各種實體實施多種手段的攻擊，但在這項工作中，我們專注于調查可對充電站及其用戶和所連接的電網產生嚴重影響的大規模攻擊。”

在論文中，研究團隊為電動車管理系統的開發人員制定了多項安全措施、指南和最佳實踐，以減輕網絡攻擊，還制定了對策來修補上述發現的每個漏洞。

為了防止對電網的大規模攻擊，研究人員建議開發人員盡快修補現有漏洞，同時在充電站制造過程的初始階段就整合安全措施：

“電動車安全領域許多行業成員已經承認我們發現的漏洞。”Bou-Harb介紹：“這些信息將有助于對充電站進行安全加固，以保護公眾和關鍵基礎設施，并為電動汽車和智能電網的未來安全解決方案提供建議。”

論文鏈接：

https://www.utsa.edu/today/2022/01/story/elias-bou-harb-ev-charging-stations-cyberattacks.html

（來源：@GoUpSec）