警惕电动汽车充电基础设施的“安全债”

随着全球电动汽车市场的加速增长,相对滞后的电动车充电基础设施正暴露出越来越多的安全漏洞,成为黑客和网络安全研究人员关注的热点。

五大安全威胁

电动车充电基础设施的安全风险通常可以归为以下几类:

1.物理攻击:这种攻击可能会对充电设施造成损害,妨碍正常的电力传输。攻击形式包括恶意破坏、搬走设备等。

2.网络攻击:电动车充电设施需要联网与中心服务器通信,网络攻击可能导致黑客利用漏洞攻击系统,破坏设备,并可能窃取用户的个人信息、支付信息等。

3.供电风险:电动车充电设施需要稳定的电力供应,电力供应发生故障,设备可能无法正常工作,导致充电服务无法提供。同时,大量高负载的电动车充电设施如果遭受网络攻击,也将会对电网自身的安全运营造成巨大威胁。

4.用户隐私风险:电动车充电设施通常需要用户提供个人信息、车辆信息、财务(支付)信息等,这些信息可能受到黑客攻击或泄露的风险。不仅仅是特斯拉、小鹏等新能源车企,起亚、宝马、丰田等传统车企近年来已经多次曝出用户隐私泄露事件。

5.恶意软件攻击:电动车充电设施上可能会存在恶意软件或病毒,攻击者可通过这种方式攻击充电设施,窃取用户信息或稳定设备等。

漏洞与销量齐飞

在电动车充电基础设施面临的网络攻击风险中,协议级和系统级漏洞又是最为致命和影响巨大的安全漏洞。

今年2月,能源网络网络安全公司Saiflow的研究人员在开放式充电点协议(OCPP)中发现了两个漏洞,可用于分布式拒绝服务(DDoS)攻击和窃取敏感信息。

而根据爱达荷国家实验室的最新发现,电动车充电桩等电动汽车供电设备(EVSE)运行的是过时版本的Linux,启动了很多不必要的服务,其中很多服务都以root身份运行,根据《能源》杂志发表的电动汽车充电漏洞研究论文,其他潜在的攻击还包括中间人攻击(AitM)和服务在互联网上的公开暴露。

风险不仅仅是理论上的:一年前,在俄乌战争爆发后,亲乌克兰的黑客破坏了莫斯科附近的充电站,使其一度瘫痪。

根据JD Power的数据,电动汽车销量在美国腾飞之际,网络安全问题也开始浮现,电动汽车销量占2022年所有汽车销量的5.8%,高于前一年的3.2%。根据美国能源部的数据,目前美国可用的2级和直流快速充电站不到5.1万个,能够同时为13万辆汽车充电。截至2022年6月,已有超过150万辆电动汽车注册,这意味着每个公共充电口有11辆汽车。

为满足需求,电动汽车充电领域的主要参与者都制定了重大的扩张计划,拜登政府的目标是到2030年将电动车充电桩数量增加到50万个。

工业网络安全提供商Dragos的高级战略总监Phil Tonkin指出,急于建立一个全面的充电基础设施可能会以牺牲网络安全为代价。考虑到电动车充电基础设施的连通性以及利用高压负载可能造成损害的能力,电动车充电基础设施面临的网络安全威胁尤其严峻。

“大多数电动车充电桩都可以看作是物联网(IoT)设备,但与普通的低功耗物联网设备不同,电动车充电设备控制着大量电力负载,”他补充说:“如此多的大功率充电设备连接汇聚到少数系统,聚合风险极大,需要谨慎实施。”

一场高风险的技术风暴

电动汽车充电基础设施是一场技术风暴,集成了云计算、软件、物联网、OT和关键基础设施等大量技术。电动车充电设备通过移动应用程序互联,面临与其他物联网设备相同的风险,同时,电动车充电设备像其他运营技术(OT)一样是交通网络的重要组成部分。最后,由于电动汽车充电站需要连接到公共网络,因此还依赖通信加密技术来保障其网络安全。

Dragos的安全专家指出:“黑客活动分子总是会在公共网络上寻找安全性较差的设备,电动汽车的所有者要采取必要控制措施,以确保不会成为唾手可得的攻击目标。”“电动车充电设施运营商最关键的基础设施是中央平台,因为充电桩会信任和响应从中央平台推送的指令。”

消费端充电设备也是一个问题。根据ChargePoint数据,美国大约80%的电动车在家中充电。但不幸的是,这些设备可能更容易遭受网络攻击,由于消费者缺乏此类安全意识,也没有能力解决充电桩的网络安全问题,充电桩设备供应商和提供通信服务的云服务商应该承担相关安全责任。

政府应该发挥什么作用?

安全专家们表示,政府应该为相关公司提供标准规范和最佳实践,以防止网络安全漏洞。桑迪亚国家实验室建议政府采取多项举措来加强网络安全,包括改进电动车主身份验证和授权、为充电基础设施的云组件增加更多安全措施,以及加强充电装置以防止物理篡改。

“以预算为导向的公司并不总是选择满足网络安全要求的实施方式,”桑迪亚网络安全专家布赖恩赖特指出:“政府可以通过提供相关建议、标准、法规和最佳实践来直接提升该行业的网络安全态势。”

前一篇【议程公开】漏洞攻防与安全研究论坛
后一篇知名网络安全公司Acronis疑遭黑客攻击