微信客服
微信公众号
英国网络安全公司 Pen Test Partners,刚刚曝光了在六个家用电动汽车充电品牌、以及一个大型公共 EV 充电网络 API 中的几个安全漏洞。随着 IoT 即将在人们的家庭与车辆中无处不在,本次调查给出了物联网设备监管不力的最新实例,且涉及 Project EV、Wallbox、EVBox、EO Charging 的 EO Hub / EO mini pro 2、Rolec、以及 Hypervolt 这个六个不同的 EV 充电品牌。
安全研究人员 Vangelis Stykas 指出,这些漏洞或允许黑客劫持用户账户、阻碍充电、甚至将其中一款充电器编程入侵用户家庭网络的“后门”。
若公共充电网络遭到黑客攻击,还可能导致电费窃取、以及通过开启 / 关闭充电器而造成电网波动。
在过去的18个月里,Pen Test Partners网络安全团队一直在调查智能电动汽车充电桩的安全性。充电桩的这些功能允许车主远程监控和管理汽车充电桩的充电状态、速度和时间等。研究人员购买了6个不同品牌的充电桩,并评估了一些公共充电网络的安全性。
图片移动应用程序都通过 API 和基于云的平台与充电桩通信,充电桩通常连接到用户的家庭 Wi-Fi 网络。
以下是研究人员的7个发现:
研究人员发现了可以劫持数百万智能电动汽车充电账户的漏洞;
一些电动汽车充电桩平台存在API授权问题,允许账户被接管和远程控制所有充电桩;
根本不需要平台授权,攻击者就能得到一个简短的、可预测的设备ID,接着就可以远程完全控制充电桩;
充电桩没有固件签名,允许远程推送新的固件,这样,充电桩就可作为家庭网络的支点;
公共充电平台暴露了一个未经身份验证的GraphQL终端,研究人员认为它会暴露所有用户和充电桩数据;
一些电动汽车充电桩是建立在树莓派计算模块上的,该模块可以轻松提取所有存储数据,包括凭证和Wi-Fi PSK;
允许同步打开和关闭所有充电桩,由于备用容量难以维持电网平稳,电力需求波动较大,因此有可能导致电网出现稳定性问题。
智能家用充电桩
研究人员查看的 6 个不同的流行品牌中,有几个在其 API 中存在帐户劫持漏洞,所有这些都获得了英国政府资助资金的认可,其中包括在欧洲和美国广受欢迎的品牌。
研究人员研究了以下品牌:
Project EV / ATESS / Shenzen Growatt
Wallbox
EVBox
EO Hub and EO mini pro 2
Rolec
Hypervolt
Project EV / ATESS / Shenzen Growatt
Project EV电动汽车充电桩由 ATESS 公司生产,采用深圳格沃特提供的 API 和平台。
这是目前最不安全的充电桩,研究人员可以劫持用户帐户并阻止用户交费。
研究人员还可以远程向充电桩推送更新的软件,这使研究人员能够将充电桩用作用户家庭网络的远程“后门”,通过这个后门,攻击者可能会进一步危害用户家中的其它设备。
Project EV API在第一次登录请求上检查了正确的凭据,这是一个POST:/ocpp/user
然而,实际上并不需要登录,因为它只是假设之后传递给它的所有参数都是正确的!
这可能允许攻击者访问和控制任何充电桩,只要他们知道充电桩的用户名或序列号。
序列号具有可预测的格式,可以很容易地强制使用,以便你可以枚举所有充电桩的存在。
示例请求:
锁定充电桩,停止充电:
解锁充电桩:
Project EV 没有回应研究人员最初的公开尝试,但在与 BBC 联系后,实施了强认证和授权,并为充电桩进行了固件更新。深圳 Growatt 也是迄今为止最大的平台,它上面有大约 290 万台设备,所有这些都可以通过弱鸡的身份验证和请求授权来远程利用。
Wallbox
Wallbox 在其 API 中有两个独立的不安全直接对象引用,这允许帐户被劫持。
研发者还为他们的充电桩使用了树莓派计算模块。虽然树莓派适合研究,但研究人员认为它不适合商业用途的公共设备,因为很难完全保护它、或者防止恢复存储的数据。
研究人员向 Wallbox 披露了这些信息,Wallbox 在几天内修复了 API 问题。他们还向研究人员展示了他们计划中的新硬件平台,并希望签署保密协议,但研究人员拒绝了。
EVBox
自从 2018 年 EVBox 宣布收购法国快速和超快充电桩制造商 EVTronic 后,EVBox 将其全球基地扩展到 60000 个充电点,其中包括 700 个快速充电(DC)桩。
自 2007 年以来,EVTronic 为电动汽车设计,开发,制造和销售一系列快速充电桩。与此同时,该公司积极参与研发,专注于 V2G(车对电网)技术。
EVBox 是所有充电桩制造商中反应最快的。允许帐户劫持的 API 漏洞在大约 24 小时内得到确认并修复,这是一个非常令人印象深刻的响应。
在 EVBox API 上,可以更改用户角色。这可以通过观察请求配置文件时的响应并查看你的配置文件请求的更新来实现,之后尝试并验证缺失值是否有效:
图片
使用任何接受的角色名称(在添加随机值时从错误消息中获得)添加角色数组将使特权升级成为可能。添加租户管理员角色时,用户对租户和由其控制的所有充电桩具有完全管理权限。
在平台上授予管理员权限:
EO Hub 和 EO mini pro 2
EO 率先在英国推出智能充电桩,使用 EO Hub 进行控制,但在安全性方面存在“先发劣势”。充电桩的“智能”也建立在树莓派上的,这是很难保障安全的,因为树莓派天生存在引导加载程序的安全问题。EO 对研究人员的披露迅速做出了回应,并将他们的整个系统重新构建到一个新的、更安全的平台上。
然而,研究人员惊讶地发现 EO mini pro 2 仍然使用了树莓派。研究人员有一个早期的 EO mini pro,它并没有使用树莓派,这看起来似乎是一种倒退。
左面的充电桩是研究人员之前的 EO mini pro,可以清楚地看到 Zentri MCU,与树莓派相比,它提供了更好的硬件安全性。然而,在右边是最近的 EO mini pro 2 的内部图像,它显然退化了,并使用了 Pi。考虑到 EO 之前为重新平台所做的努力,研究人员不确定为什么 EO 会这样做。
在此过程中,研究人员也注意到研究人员的 EO mini pro 上有一个易受攻击的服务。TCP 端口 2000 不需要身份验证,并且可以对其进行读写配置,这可能会阻止它进行通信并暴露敏感数据,例如 PSK。
例如,研究人员在这里可以更改DNS:
然而,这种影响在一定程度上有所缓解,因为用户首先需要破解用户的 Wi-Fi 密钥。
Rolec
在这几个品牌中 Rolec 是最安全的,特别是它使用 SIM 卡和移动数据传输数据。这使得流量拦截比使用 Wi-Fi 连接更难,尽管不是不可能。
Hypervolt
Hypervolt 还使用了树莓派,因此硬件安全性最低。
智能公共充电桩
由于需要使用不同的运营商和应用程序,公共充电可能会有点痛苦。通过开放充电桩接口 (OCPI) 正在出现充电网络之间的一些互操作。这意味着在一个收费提供商系统上拥有账户的用户可以使用其他提供商系统并交叉计费,有点像智能手机的国际漫游。
研究人员在 Chargepoint 公司发现了一个暴露的 GraphQL 终端,Chargepoint 是一家大型的美国充电基础设施提供商,与美国、欧洲和其他地区的大约15万个充电桩签订了“漫游”协议。终端允许内省 (Introspection) ,允许查看其 API 的详细信息。内省,有时也叫类型内省,是在运行时进行的一种对象检测机制,我们可以通过内省来获取一个对象的所有信息。
研究人员没有更进一步深入探究,因为存在一定的直接风险,如在进一步查询的情况下有可能会将其敏感内容进行转储。
但是,研究人员认为可以将某个帐户附加到另一个主用户帐户,从而免费获得更多隐私信息。
信息披露
Chargepoint 反应特别快,很快就承认了这个问题,大约在 24 小时内就修好了。
事后看来,由于 Chargepoint 公司有一个良好的漏洞披露计划,并愿意与研究人员合作,使得可以进行深入调查。
公共充电桩存在的普遍问题
OCPI 增强的互操作性产生了一些令人生畏的安全问题:这意味着一个平台中的漏洞可能会在另一个平台上造成危害。充电公司拥有 OCPI 连接的任何一个平台都可能暴露他们自己的充电桩和安全性。
造成的后果包括:
通过泄露帐户窃电,向合法用户收取费用;
阻止合法用户充电,通过发送消息停止充电;
通过同步、启动和停止多个充电桩的充电导致电网稳定性问题。
快速充电桩消耗大量电量,格雷特纳格林(英国的一个小镇)的一个发电站就有四个这样的充电桩,如果同时使用,消耗1400千瓦,这差不多相当于1000个家庭的使用量。
由于可再生能源越来越占主流,研究人员认为电网对电力消耗大幅波动的适应力较弱。
通过一次次打开、关闭、打开、关闭大量的大功率充电桩,可以破坏电网的稳定。
注:上述所有 API 和硬件漏洞都被成功地披露给了相关供应商,所有的 API 漏洞都得到了纠正。
截止发稿,树莓派的硬件问题仍然存在,但考虑到需要物理访问充电桩,攻击的风险似乎很低。作为预防措施,可以断开家用 wi-fi 充电桩和更换 PSK。另一种选择可能是将充电桩的面板粘在后面,尽管这看起来有点极端。
总结
显然,智能充电桩领域的安全保障亟待重视,随着家庭充电桩配备趋势的增加以及公共充电设施的普及,网络安全问题也越来越突出。
希望这项研究能帮助充电桩制造商和监管者更加重视安全性。
资料来源及致谢
Pen Test Partners
cnBeta.COM
0 条