如果你注意到附近突然出现了一个汽车充电站,恭喜你!你是一个不断增长的系统网络的一部分,这些系统的安全性很差,有一天可能会被用来破坏整个网格的稳定,安全性足以成为现在关注的话题。这是新墨西哥州阿尔伯克基桑迪亚国家实验室的科学家得出的结论,他们与爱达荷州合作,花了四年时间研究证明和公开披露的电动汽车供电设备(EVSE)中的漏洞。我们国家实验室的同事对10EV进行了自己的测试充电器。参与该项目的网络安全专家BrianWright表示:“电动汽车充电设备会影响电网吗?当然会。这是未来10到15年内犯罪分子可能会做的事情。这就是为什么我们需要解决这些问题先有问题。”1.嘿,我认得这个虫子!与此同时,犯罪分子现在可以使用大量的攻击媒介。尽管如此,这些都是我们多年来在其他技术领域看到的持续存在的问题。“研究人员之前已经多次证明,通过EVSE连接窃取凭证或影响充电过程是可能的,”研究人员在论文中说。有一次,“对于所调查的所有7辆汽车和18辆电动汽车”,研究人员使用功率小于1瓦的软件无线电成功地检测并中断了47米外的充电信号。RFID克隆目前在早期的EVSE基础设施中是可能的,这可能允许窃贼使用其他人的借记卡或信用卡进行充值。研究人员表示,一些用于管理充电过程的iOS和Android应用程序“也很容易被逆向工程,暴露出EVSE管理和供应商云接口中的弱点”。EVSE互联网接口的问题很容易猜到:它们经常使用不安全的网络服务,可以从本地智能手机或计算机访问这些服务,并且可以在互联网上找到多家制造商的充电器。该报告发现充电器使用的网络服务存在漏洞,攻击者可以利用这些漏洞篡改配置数据或推送恶意固件更新。充电器与云服务之间的通信也存在许多问题,例如缺乏适当的身份验证方法、输入字段没有经过清理,甚至因为供应商维护远程后门访问而暴露于供应链攻击。硬件漏洞包括大量运行冗余服务的过时Linux内核,可以通过暴露的USB端口访问这些服务,从而允许攻击者上传恶意固件。一些充电器甚至被发现在没有安全引导加载程序的情况下在RaspberryPi上运行。此外,还有无数的硬编码凭据、在不添加随机字符串(盐)的情况下进行哈希处理的密码,以及其他加密禁忌。2、形势不容乐观。我们学到了什么?电动汽车充电行业似乎正在采取与物联网背后的公司相同的网络安全方法:事后诸葛亮。领导该研究项目的桑迪亚国家实验室的电气工程师杰伊约翰逊说,他希望他的团队的发现将有助于了解行业的现状,这对于解决问题至关重要。他解释说:“通过对EV充电器中的漏洞进行调查,我们可以优先向政策制定者提出有关行业需要哪些安全改进的建议。”政府可能会说“生产安全的EV充电器”,但以预算为导向的公司并不总是选择最安全的网络实施方法。相反,政府可以通过提供方法、建议、标准和最佳实践来直接支持行业。这并不奇怪,但桑迪亚国家实验室建议进行基本的网络安全,例如删除不需要的服务、保持软件更新、锁定物理端口以及使用适当的加密。该团队还建议实施更好的EV所有者验证方法,例如即插即用公钥基础设施、网络入侵检测系统、代码签名固件更新以及充电行业最佳实践建议中提到的其他实践。该团队已获得后续资金,以弥补他们在爱达荷国家实验室和太平洋西北国家实验室发现的一些不足。三个实验室正在合作开发一种电动汽车充电系统,该系统使用新方法保护公共基础设施免受犯罪分子的侵害。但除非政府采取一些监管行动,否则情况不会改善。许多EVSE制造商都在努力跟上市场需求。虽然已经讨论了法规,但它们不太可能至少在一年内出现。请注意,这适用于美国,而英国已提出有关EV充电器的法规,该法规将于明年生效。虽然一些供应商提高了安全性,但这些公司发现自己在市场上处于劣势,无法与希望将产品快速推向市场的公司竞争。在引入法规以确保公平竞争之前,市场趋势倾向于不安全的系统。原文链接:https://www.theregister.com/2022/11/15/ev_charging_infrastructure_sandia/
