BladeTeam发现充电桩行业国内首个安全漏洞并上报相关厂商BladeTeam现身现场,成功演示了针对“无感支付”DC充电桩的漏洞攻击。在比赛中,BladeTeam安全研究人员模拟了攻击者的身份。他们只需要获取模拟受害人的车辆ID,利用专用设备将“无感支付”直流充电桩与汽车连接起来,就可以利用充电桩通信协议的漏洞,轻松完成“无感支付”。盗刷”行动。“目前,新能源汽车的车辆识别标志大多存在于车身外部,这是公开信息。也有很多黑市渠道出售此类车辆数据。一旦黑市掌握了这种方式,就有被大规模恶意使用的风险。”BladeTeam高级安全研究员尼基说。刀锋团队此次发现的漏洞是国内充电桩行业首例安全漏洞。影响大,修复困难。对行业的健康发展具有很强的风险警示价值。目前,我国新能源汽车产业蓬勃发展。充电桩作为新基建的重点领域之一,也是新能源汽车最重要的基础设施,其安全性不容小觑。即插即用、无感支付是当前充电桩行业的主流发展趋势。采用“感应支付”技术的充电桩只需在初始绑定环节对用户进行身份验证,充电时即可自动识别车辆。充值完成后,将从绑定的账户中扣除相应金额。作为腾讯安全平台部专注于前沿技术领域安全的研究团队,刀锋团队率先关注充电桩行业的安全研究空白,并基于之前在物联网领域的积累物联网、硬件等技术领域,开展了对“无感支付”充电桩的深入研究。据了解,此次发现的漏洞属于充电通信协议缺陷,采用相同技术方案的“无感支付”直流充电桩均受其影响。目前,腾讯刀锋团队已经通过GeekPwn官方向相关厂商提交了漏洞详情,并将协助厂商进行修复。对于新能源汽车的普通用户,刀锋团队研究人员也表示,无需过度恐慌。这种攻击的实现需要专业知识和专用设备,真正利用漏洞有一定的门槛。在厂商修复该漏洞前,尽量选择扫描二维码等传统的充电支付方式,以免造成不良影响。
