英國網(wǎng)絡(luò)安全公司 Pen Test Partners，剛剛曝光了在六個(gè)家用電動(dòng)汽車充電品牌、以及一個(gè)大型公共 EV 充電網(wǎng)絡(luò) API 中的幾個(gè)安全漏洞。隨著 IoT 即將在人們的家庭與車輛中無處不在，本次調(diào)查給出了物聯(lián)網(wǎng)設(shè)備監(jiān)管不力的最新實(shí)例，且涉及 Project EV、Wallbox、EVBox、EO Charging 的 EO Hub / EO mini pro 2、Rolec、以及 Hypervolt 這個(gè)六個(gè)不同的 EV 充電品牌。

安全研究人員 Vangelis Stykas 指出，這些漏洞或允許黑客劫持用戶賬戶、阻礙充電、甚至將其中一款充電器編程入侵用戶家庭網(wǎng)絡(luò)的“后門”。

若公共充電網(wǎng)絡(luò)遭到黑客攻擊，還可能導(dǎo)致電費(fèi)竊取、以及通過開啟 / 關(guān)閉充電器而造成電網(wǎng)波動(dòng)。

在過去的18個(gè)月里，Pen Test Partners網(wǎng)絡(luò)安全團(tuán)隊(duì)一直在調(diào)查智能電動(dòng)汽車充電樁的安全性。充電樁的這些功能允許車主遠(yuǎn)程監(jiān)控和管理汽車充電樁的充電狀態(tài)、速度和時(shí)間等。研究人員購買了6個(gè)不同品牌的充電樁，并評(píng)估了一些公共充電網(wǎng)絡(luò)的安全性。

圖片移動(dòng)應(yīng)用程序都通過 API 和基于云的平臺(tái)與充電樁通信，充電樁通常連接到用戶的家庭 Wi-Fi 網(wǎng)絡(luò)。

以下是研究人員的7個(gè)發(fā)現(xiàn)：

研究人員發(fā)現(xiàn)了可以劫持?jǐn)?shù)百萬智能電動(dòng)汽車充電賬戶的漏洞；

一些電動(dòng)汽車充電樁平臺(tái)存在API授權(quán)問題，允許賬戶被接管和遠(yuǎn)程控制所有充電樁；

根本不需要平臺(tái)授權(quán)，攻擊者就能得到一個(gè)簡(jiǎn)短的、可預(yù)測(cè)的設(shè)備ID，接著就可以遠(yuǎn)程完全控制充電樁；

充電樁沒有固件簽名，允許遠(yuǎn)程推送新的固件，這樣，充電樁就可作為家庭網(wǎng)絡(luò)的支點(diǎn)；

公共充電平臺(tái)暴露了一個(gè)未經(jīng)身份驗(yàn)證的GraphQL終端，研究人員認(rèn)為它會(huì)暴露所有用戶和充電樁數(shù)據(jù)；

一些電動(dòng)汽車充電樁是建立在樹莓派計(jì)算模塊上的，該模塊可以輕松提取所有存儲(chǔ)數(shù)據(jù)，包括憑證和Wi-Fi PSK；

允許同步打開和關(guān)閉所有充電樁，由于備用容量難以維持電網(wǎng)平穩(wěn)，電力需求波動(dòng)較大，因此有可能導(dǎo)致電網(wǎng)出現(xiàn)穩(wěn)定性問題。

智能家用充電樁

研究人員查看的 6 個(gè)不同的流行品牌中，有幾個(gè)在其 API 中存在帳戶劫持漏洞，所有這些都獲得了英國政府資助資金的認(rèn)可，其中包括在歐洲和美國廣受歡迎的品牌。

研究人員研究了以下品牌：

Project EV / ATESS / Shenzen Growatt

Wallbox

EVBox

EO Hub and EO mini pro 2

Rolec

Hypervolt

Project EV / ATESS / Shenzen Growatt

Project EV電動(dòng)汽車充電樁由 ATESS 公司生產(chǎn)，采用深圳格沃特提供的 API 和平臺(tái)。

這是目前最不安全的充電樁，研究人員可以劫持用戶帳戶并阻止用戶交費(fèi)。

研究人員還可以遠(yuǎn)程向充電樁推送更新的軟件，這使研究人員能夠?qū)⒊潆姌队米饔脩艏彝ゾW(wǎng)絡(luò)的遠(yuǎn)程“后門”，通過這個(gè)后門，攻擊者可能會(huì)進(jìn)一步危害用戶家中的其它設(shè)備。

Project EV API在第一次登錄請(qǐng)求上檢查了正確的憑據(jù)，這是一個(gè)POST：/ocpp/user

然而，實(shí)際上并不需要登錄，因?yàn)樗皇羌僭O(shè)之后傳遞給它的所有參數(shù)都是正確的！

這可能允許攻擊者訪問和控制任何充電樁，只要他們知道充電樁的用戶名或序列號(hào)。

序列號(hào)具有可預(yù)測(cè)的格式，可以很容易地強(qiáng)制使用，以便你可以枚舉所有充電樁的存在。

示例請(qǐng)求：

鎖定充電樁，停止充電：

解鎖充電樁：

Project EV 沒有回應(yīng)研究人員最初的公開嘗試，但在與 BBC 聯(lián)系后，實(shí)施了強(qiáng)認(rèn)證和授權(quán)，并為充電樁進(jìn)行了固件更新。深圳 Growatt 也是迄今為止最大的平臺(tái)，它上面有大約 290 萬臺(tái)設(shè)備，所有這些都可以通過弱雞的身份驗(yàn)證和請(qǐng)求授權(quán)來遠(yuǎn)程利用。

Wallbox

Wallbox 在其 API 中有兩個(gè)獨(dú)立的不安全直接對(duì)象引用，這允許帳戶被劫持。

研發(fā)者還為他們的充電樁使用了樹莓派計(jì)算模塊。雖然樹莓派適合研究，但研究人員認(rèn)為它不適合商業(yè)用途的公共設(shè)備，因?yàn)楹茈y完全保護(hù)它、或者防止恢復(fù)存儲(chǔ)的數(shù)據(jù)。

研究人員向 Wallbox 披露了這些信息，Wallbox 在幾天內(nèi)修復(fù)了 API 問題。他們還向研究人員展示了他們計(jì)劃中的新硬件平臺(tái)，并希望簽署保密協(xié)議，但研究人員拒絕了。

EVBox

自從 2018 年 EVBox 宣布收購法國快速和超快充電樁制造商 EVTronic 后，EVBox 將其全球基地?cái)U(kuò)展到 60000 個(gè)充電點(diǎn)，其中包括 700 個(gè)快速充電(DC)樁。

自 2007 年以來，EVTronic 為電動(dòng)汽車設(shè)計(jì)，開發(fā)，制造和銷售一系列快速充電樁。與此同時(shí)，該公司積極參與研發(fā)，專注于 V2G（車對(duì)電網(wǎng)）技術(shù)。

EVBox 是所有充電樁制造商中反應(yīng)最快的。允許帳戶劫持的 API 漏洞在大約 24 小時(shí)內(nèi)得到確認(rèn)并修復(fù)，這是一個(gè)非常令人印象深刻的響應(yīng)。

在 EVBox API 上，可以更改用戶角色。這可以通過觀察請(qǐng)求配置文件時(shí)的響應(yīng)并查看你的配置文件請(qǐng)求的更新來實(shí)現(xiàn)，之后嘗試并驗(yàn)證缺失值是否有效：

圖片

使用任何接受的角色名稱（在添加隨機(jī)值時(shí)從錯(cuò)誤消息中獲得）添加角色數(shù)組將使特權(quán)升級(jí)成為可能。添加租戶管理員角色時(shí)，用戶對(duì)租戶和由其控制的所有充電樁具有完全管理權(quán)限。

在平臺(tái)上授予管理員權(quán)限：

EO Hub 和 EO mini pro 2

EO 率先在英國推出智能充電樁，使用 EO Hub 進(jìn)行控制，但在安全性方面存在“先發(fā)劣勢(shì)”。充電樁的“智能”也建立在樹莓派上的，這是很難保障安全的，因?yàn)闃漭商焐嬖谝龑?dǎo)加載程序的安全問題。EO 對(duì)研究人員的披露迅速做出了回應(yīng)，并將他們的整個(gè)系統(tǒng)重新構(gòu)建到一個(gè)新的、更安全的平臺(tái)上。

然而，研究人員驚訝地發(fā)現(xiàn) EO mini pro 2 仍然使用了樹莓派。研究人員有一個(gè)早期的 EO mini pro，它并沒有使用樹莓派，這看起來似乎是一種倒退。

左面的充電樁是研究人員之前的 EO mini pro，可以清楚地看到 Zentri MCU，與樹莓派相比，它提供了更好的硬件安全性。然而，在右邊是最近的 EO mini pro 2 的內(nèi)部圖像，它顯然退化了，并使用了 Pi?？紤]到 EO 之前為重新平臺(tái)所做的努力，研究人員不確定為什么 EO 會(huì)這樣做。

在此過程中，研究人員也注意到研究人員的 EO mini pro 上有一個(gè)易受攻擊的服務(wù)。TCP 端口 2000 不需要身份驗(yàn)證，并且可以對(duì)其進(jìn)行讀寫配置，這可能會(huì)阻止它進(jìn)行通信并暴露敏感數(shù)據(jù)，例如 PSK。

例如，研究人員在這里可以更改DNS：

然而，這種影響在一定程度上有所緩解，因?yàn)橛脩羰紫刃枰平庥脩舻?Wi-Fi 密鑰。

Rolec

在這幾個(gè)品牌中 Rolec 是最安全的，特別是它使用 SIM 卡和移動(dòng)數(shù)據(jù)傳輸數(shù)據(jù)。這使得流量攔截比使用 Wi-Fi 連接更難，盡管不是不可能。

Hypervolt

Hypervolt 還使用了樹莓派，因此硬件安全性最低。

智能公共充電樁

由于需要使用不同的運(yùn)營(yíng)商和應(yīng)用程序，公共充電可能會(huì)有點(diǎn)痛苦。通過開放充電樁接口 (OCPI) 正在出現(xiàn)充電網(wǎng)絡(luò)之間的一些互操作。這意味著在一個(gè)收費(fèi)提供商系統(tǒng)上擁有賬戶的用戶可以使用其他提供商系統(tǒng)并交叉計(jì)費(fèi)，有點(diǎn)像智能手機(jī)的國際漫游。

研究人員在 Chargepoint 公司發(fā)現(xiàn)了一個(gè)暴露的 GraphQL 終端，Chargepoint 是一家大型的美國充電基礎(chǔ)設(shè)施提供商，與美國、歐洲和其他地區(qū)的大約15萬個(gè)充電樁簽訂了“漫游”協(xié)議。終端允許內(nèi)省 (Introspection) ，允許查看其 API 的詳細(xì)信息。內(nèi)省，有時(shí)也叫類型內(nèi)省，是在運(yùn)行時(shí)進(jìn)行的一種對(duì)象檢測(cè)機(jī)制，我們可以通過內(nèi)省來獲取一個(gè)對(duì)象的所有信息。

研究人員沒有更進(jìn)一步深入探究，因?yàn)榇嬖谝欢ǖ闹苯语L(fēng)險(xiǎn)，如在進(jìn)一步查詢的情況下有可能會(huì)將其敏感內(nèi)容進(jìn)行轉(zhuǎn)儲(chǔ)。

但是，研究人員認(rèn)為可以將某個(gè)帳戶附加到另一個(gè)主用戶帳戶，從而免費(fèi)獲得更多隱私信息。

信息披露

Chargepoint 反應(yīng)特別快，很快就承認(rèn)了這個(gè)問題，大約在 24 小時(shí)內(nèi)就修好了。

事后看來，由于 Chargepoint 公司有一個(gè)良好的漏洞披露計(jì)劃，并愿意與研究人員合作，使得可以進(jìn)行深入調(diào)查。

公共充電樁存在的普遍問題

OCPI 增強(qiáng)的互操作性產(chǎn)生了一些令人生畏的安全問題：這意味著一個(gè)平臺(tái)中的漏洞可能會(huì)在另一個(gè)平臺(tái)上造成危害。充電公司擁有 OCPI 連接的任何一個(gè)平臺(tái)都可能暴露他們自己的充電樁和安全性。

造成的后果包括：

通過泄露帳戶竊電，向合法用戶收取費(fèi)用；

阻止合法用戶充電，通過發(fā)送消息停止充電；

通過同步、啟動(dòng)和停止多個(gè)充電樁的充電導(dǎo)致電網(wǎng)穩(wěn)定性問題。

快速充電樁消耗大量電量，格雷特納格林(英國的一個(gè)小鎮(zhèn))的一個(gè)發(fā)電站就有四個(gè)這樣的充電樁，如果同時(shí)使用，消耗1400千瓦，這差不多相當(dāng)于1000個(gè)家庭的使用量。

由于可再生能源越來越占主流，研究人員認(rèn)為電網(wǎng)對(duì)電力消耗大幅波動(dòng)的適應(yīng)力較弱。

通過一次次打開、關(guān)閉、打開、關(guān)閉大量的大功率充電樁，可以破壞電網(wǎng)的穩(wěn)定。

注：上述所有 API 和硬件漏洞都被成功地披露給了相關(guān)供應(yīng)商，所有的 API 漏洞都得到了糾正。

截止發(fā)稿，樹莓派的硬件問題仍然存在，但考慮到需要物理訪問充電樁，攻擊的風(fēng)險(xiǎn)似乎很低。作為預(yù)防措施，可以斷開家用 wi-fi 充電樁和更換 PSK。另一種選擇可能是將充電樁的面板粘在后面，盡管這看起來有點(diǎn)極端。

總結(jié)

顯然，智能充電樁領(lǐng)域的安全保障亟待重視，隨著家庭充電樁配備趨勢(shì)的增加以及公共充電設(shè)施的普及，網(wǎng)絡(luò)安全問題也越來越突出。

希望這項(xiàng)研究能幫助充電樁制造商和監(jiān)管者更加重視安全性。

資料來源及致謝

Pen Test Partners

cnBeta.COM