英國網(wǎng)絡(luò)安全公司 Pen Test Partners，剛剛曝光了在六個家用電動汽車充電品牌、以及一個大型公共 EV 充電網(wǎng)絡(luò) API 中的幾個安全漏洞。隨著 IoT 即將在人們的家庭與車輛中無處不在，本次調(diào)查給出了物聯(lián)網(wǎng)設(shè)備監(jiān)管不力的最新實(shí)例，且涉及 Project EV、Wallbox、EVBox、EO Charging 的 EO Hub / EO mini pro 2、Rolec、以及 Hypervolt 這個六個不同的 EV 充電品牌。

安全研究人員 Vangelis Stykas 指出，這些漏洞或允許黑客劫持用戶賬戶、阻礙充電、甚至將其中一款充電器編程入侵用戶家庭網(wǎng)絡(luò)的“后門”。

若公共充電網(wǎng)絡(luò)遭到黑客攻擊，還可能導(dǎo)致電費(fèi)竊取、以及通過開啟 / 關(guān)閉充電器而造成電網(wǎng)波動。

在過去的18個月里，Pen Test Partners網(wǎng)絡(luò)安全團(tuán)隊一直在調(diào)查智能電動汽車充電樁的安全性。充電樁的這些功能允許車主遠(yuǎn)程監(jiān)控和管理汽車充電樁的充電狀態(tài)、速度和時間等。研究人員購買了6個不同品牌的充電樁，并評估了一些公共充電網(wǎng)絡(luò)的安全性。

圖片移動應(yīng)用程序都通過 API 和基于云的平臺與充電樁通信，充電樁通常連接到用戶的家庭 Wi-Fi 網(wǎng)絡(luò)。

以下是研究人員的7個發(fā)現(xiàn)：

研究人員發(fā)現(xiàn)了可以劫持?jǐn)?shù)百萬智能電動汽車充電賬戶的漏洞；

一些電動汽車充電樁平臺存在API授權(quán)問題，允許賬戶被接管和遠(yuǎn)程控制所有充電樁；

根本不需要平臺授權(quán)，攻擊者就能得到一個簡短的、可預(yù)測的設(shè)備ID，接著就可以遠(yuǎn)程完全控制充電樁；

充電樁沒有固件簽名，允許遠(yuǎn)程推送新的固件，這樣，充電樁就可作為家庭網(wǎng)絡(luò)的支點(diǎn)；

公共充電平臺暴露了一個未經(jīng)身份驗(yàn)證的GraphQL終端，研究人員認(rèn)為它會暴露所有用戶和充電樁數(shù)據(jù)；

一些電動汽車充電樁是建立在樹莓派計算模塊上的，該模塊可以輕松提取所有存儲數(shù)據(jù)，包括憑證和Wi-Fi PSK；

允許同步打開和關(guān)閉所有充電樁，由于備用容量難以維持電網(wǎng)平穩(wěn)，電力需求波動較大，因此有可能導(dǎo)致電網(wǎng)出現(xiàn)穩(wěn)定性問題。

智能家用充電樁

研究人員查看的 6 個不同的流行品牌中，有幾個在其 API 中存在帳戶劫持漏洞，所有這些都獲得了英國政府資助資金的認(rèn)可，其中包括在歐洲和美國廣受歡迎的品牌。

研究人員研究了以下品牌：

Project EV / ATESS / Shenzen Growatt

Wallbox

EVBox

EO Hub and EO mini pro 2

Rolec

Hypervolt

Project EV / ATESS / Shenzen Growatt

Project EV電動汽車充電樁由 ATESS 公司生產(chǎn)，采用深圳格沃特提供的 API 和平臺。

這是目前最不安全的充電樁，研究人員可以劫持用戶帳戶并阻止用戶交費(fèi)。

研究人員還可以遠(yuǎn)程向充電樁推送更新的軟件，這使研究人員能夠?qū)⒊潆姌队米饔脩艏彝ゾW(wǎng)絡(luò)的遠(yuǎn)程“后門”，通過這個后門，攻擊者可能會進(jìn)一步危害用戶家中的其它設(shè)備。

Project EV API在第一次登錄請求上檢查了正確的憑據(jù)，這是一個POST：/ocpp/user

然而，實(shí)際上并不需要登錄，因?yàn)樗皇羌僭O(shè)之后傳遞給它的所有參數(shù)都是正確的！

這可能允許攻擊者訪問和控制任何充電樁，只要他們知道充電樁的用戶名或序列號。

序列號具有可預(yù)測的格式，可以很容易地強(qiáng)制使用，以便你可以枚舉所有充電樁的存在。

示例請求：

鎖定充電樁，停止充電：

解鎖充電樁：

Project EV 沒有回應(yīng)研究人員最初的公開嘗試，但在與 BBC 聯(lián)系后，實(shí)施了強(qiáng)認(rèn)證和授權(quán)，并為充電樁進(jìn)行了固件更新。深圳 Growatt 也是迄今為止最大的平臺，它上面有大約 290 萬臺設(shè)備，所有這些都可以通過弱雞的身份驗(yàn)證和請求授權(quán)來遠(yuǎn)程利用。

Wallbox

Wallbox 在其 API 中有兩個獨(dú)立的不安全直接對象引用，這允許帳戶被劫持。

研發(fā)者還為他們的充電樁使用了樹莓派計算模塊。雖然樹莓派適合研究，但研究人員認(rèn)為它不適合商業(yè)用途的公共設(shè)備，因?yàn)楹茈y完全保護(hù)它、或者防止恢復(fù)存儲的數(shù)據(jù)。

研究人員向 Wallbox 披露了這些信息，Wallbox 在幾天內(nèi)修復(fù)了 API 問題。他們還向研究人員展示了他們計劃中的新硬件平臺，并希望簽署保密協(xié)議，但研究人員拒絕了。

EVBox

自從 2018 年 EVBox 宣布收購法國快速和超快充電樁制造商 EVTronic 后，EVBox 將其全球基地擴(kuò)展到 60000 個充電點(diǎn)，其中包括 700 個快速充電(DC)樁。

自 2007 年以來，EVTronic 為電動汽車設(shè)計，開發(fā)，制造和銷售一系列快速充電樁。與此同時，該公司積極參與研發(fā)，專注于 V2G（車對電網(wǎng)）技術(shù)。

EVBox 是所有充電樁制造商中反應(yīng)最快的。允許帳戶劫持的 API 漏洞在大約 24 小時內(nèi)得到確認(rèn)并修復(fù)，這是一個非常令人印象深刻的響應(yīng)。

在 EVBox API 上，可以更改用戶角色。這可以通過觀察請求配置文件時的響應(yīng)并查看你的配置文件請求的更新來實(shí)現(xiàn)，之后嘗試并驗(yàn)證缺失值是否有效：

圖片

使用任何接受的角色名稱（在添加隨機(jī)值時從錯誤消息中獲得）添加角色數(shù)組將使特權(quán)升級成為可能。添加租戶管理員角色時，用戶對租戶和由其控制的所有充電樁具有完全管理權(quán)限。

在平臺上授予管理員權(quán)限：

EO Hub 和 EO mini pro 2

EO 率先在英國推出智能充電樁，使用 EO Hub 進(jìn)行控制，但在安全性方面存在“先發(fā)劣勢”。充電樁的“智能”也建立在樹莓派上的，這是很難保障安全的，因?yàn)闃漭商焐嬖谝龑?dǎo)加載程序的安全問題。EO 對研究人員的披露迅速做出了回應(yīng)，并將他們的整個系統(tǒng)重新構(gòu)建到一個新的、更安全的平臺上。

然而，研究人員驚訝地發(fā)現(xiàn) EO mini pro 2 仍然使用了樹莓派。研究人員有一個早期的 EO mini pro，它并沒有使用樹莓派，這看起來似乎是一種倒退。

左面的充電樁是研究人員之前的 EO mini pro，可以清楚地看到 Zentri MCU，與樹莓派相比，它提供了更好的硬件安全性。然而，在右邊是最近的 EO mini pro 2 的內(nèi)部圖像，它顯然退化了，并使用了 Pi?？紤]到 EO 之前為重新平臺所做的努力，研究人員不確定為什么 EO 會這樣做。

在此過程中，研究人員也注意到研究人員的 EO mini pro 上有一個易受攻擊的服務(wù)。TCP 端口 2000 不需要身份驗(yàn)證，并且可以對其進(jìn)行讀寫配置，這可能會阻止它進(jìn)行通信并暴露敏感數(shù)據(jù)，例如 PSK。

例如，研究人員在這里可以更改DNS：

然而，這種影響在一定程度上有所緩解，因?yàn)橛脩羰紫刃枰平庥脩舻?Wi-Fi 密鑰。

Rolec

在這幾個品牌中 Rolec 是最安全的，特別是它使用 SIM 卡和移動數(shù)據(jù)傳輸數(shù)據(jù)。這使得流量攔截比使用 Wi-Fi 連接更難，盡管不是不可能。

Hypervolt

Hypervolt 還使用了樹莓派，因此硬件安全性最低。

智能公共充電樁

由于需要使用不同的運(yùn)營商和應(yīng)用程序，公共充電可能會有點(diǎn)痛苦。通過開放充電樁接口 (OCPI) 正在出現(xiàn)充電網(wǎng)絡(luò)之間的一些互操作。這意味著在一個收費(fèi)提供商系統(tǒng)上擁有賬戶的用戶可以使用其他提供商系統(tǒng)并交叉計費(fèi)，有點(diǎn)像智能手機(jī)的國際漫游。

研究人員在 Chargepoint 公司發(fā)現(xiàn)了一個暴露的 GraphQL 終端，Chargepoint 是一家大型的美國充電基礎(chǔ)設(shè)施提供商，與美國、歐洲和其他地區(qū)的大約15萬個充電樁簽訂了“漫游”協(xié)議。終端允許內(nèi)省 (Introspection) ，允許查看其 API 的詳細(xì)信息。內(nèi)省，有時也叫類型內(nèi)省，是在運(yùn)行時進(jìn)行的一種對象檢測機(jī)制，我們可以通過內(nèi)省來獲取一個對象的所有信息。

研究人員沒有更進(jìn)一步深入探究，因?yàn)榇嬖谝欢ǖ闹苯语L(fēng)險，如在進(jìn)一步查詢的情況下有可能會將其敏感內(nèi)容進(jìn)行轉(zhuǎn)儲。

但是，研究人員認(rèn)為可以將某個帳戶附加到另一個主用戶帳戶，從而免費(fèi)獲得更多隱私信息。

信息披露

Chargepoint 反應(yīng)特別快，很快就承認(rèn)了這個問題，大約在 24 小時內(nèi)就修好了。

事后看來，由于 Chargepoint 公司有一個良好的漏洞披露計劃，并愿意與研究人員合作，使得可以進(jìn)行深入調(diào)查。

公共充電樁存在的普遍問題

OCPI 增強(qiáng)的互操作性產(chǎn)生了一些令人生畏的安全問題：這意味著一個平臺中的漏洞可能會在另一個平臺上造成危害。充電公司擁有 OCPI 連接的任何一個平臺都可能暴露他們自己的充電樁和安全性。

造成的后果包括：

通過泄露帳戶竊電，向合法用戶收取費(fèi)用；

阻止合法用戶充電，通過發(fā)送消息停止充電；

通過同步、啟動和停止多個充電樁的充電導(dǎo)致電網(wǎng)穩(wěn)定性問題。

快速充電樁消耗大量電量，格雷特納格林(英國的一個小鎮(zhèn))的一個發(fā)電站就有四個這樣的充電樁，如果同時使用，消耗1400千瓦，這差不多相當(dāng)于1000個家庭的使用量。

由于可再生能源越來越占主流，研究人員認(rèn)為電網(wǎng)對電力消耗大幅波動的適應(yīng)力較弱。

通過一次次打開、關(guān)閉、打開、關(guān)閉大量的大功率充電樁，可以破壞電網(wǎng)的穩(wěn)定。

注：上述所有 API 和硬件漏洞都被成功地披露給了相關(guān)供應(yīng)商，所有的 API 漏洞都得到了糾正。

截止發(fā)稿，樹莓派的硬件問題仍然存在，但考慮到需要物理訪問充電樁，攻擊的風(fēng)險似乎很低。作為預(yù)防措施，可以斷開家用 wi-fi 充電樁和更換 PSK。另一種選擇可能是將充電樁的面板粘在后面，盡管這看起來有點(diǎn)極端。

總結(jié)

顯然，智能充電樁領(lǐng)域的安全保障亟待重視，隨著家庭充電樁配備趨勢的增加以及公共充電設(shè)施的普及，網(wǎng)絡(luò)安全問題也越來越突出。

希望這項研究能幫助充電樁制造商和監(jiān)管者更加重視安全性。

資料來源及致謝

Pen Test Partners

cnBeta.COM