译者 | 陈峻
审校 | 重楼
近年来,随着纯电和混动汽车数量的爆炸式增长,其配套的充电桩的需求也呈直线攀升趋势。不过,这些充电桩可能面临着独特的网络安全风险。只要黑客们掌握了足够的相关信息,他们不但能够远程关闭供电网络,甚至会入侵和篡改汽车的设置。下面,我们将深入讨论此类至关重要的安全问题。
为什么电动汽车充电桩会存在网络安全风险?
2021年,美国曾宣布其目标是在现有 10 万个充电站点的基础上,再增加 50 万个站点,并已投资了多达 150 亿美元。作为物联网(IoT)设备,各种被分散部署的电动汽车充电桩在其所处的生态系统中,由于设备鲜少得到更新,运行过程中缺乏监管,因此可能存在着安全漏洞,面临着攻击威胁,以及隐私泄漏等网络安全隐患。
与此同时,由于被部署在光线昏暗且人迹罕至的泊车处,电动汽车充电桩的电子硬件本身,也容易受到物理攻击与破坏。
谁更容易受到此类网络安全风险的攻击?
其实,每个使用电动汽车充电桩、或在车联网上操作车辆的人,都有可能遭遇网络安全攻击。当然,由于快速充电的成本较高,大多数人往往会选择慢充来节省花销。而这会造成黑客有了更加充裕的时间,从物联网渗透到车机系统的可能性会更高,给用户带来的损失也就更大。
电动汽车充电桩将会怎样受到攻击?
如前所述,鉴于充电桩地理环境的特点,各种外部物理连接往往比较脆弱,而且存在各种潜在的安全风险。例如,制造商和安装人员通常会将电动汽车充电桩,集成到现有楼宇的自动化管理系统中,以监控充电状态和使用情况。那么,究竟会有哪些已知的攻击面会被利用,进而给充电桩、及其电动汽车带来网络安全事故呢?
- 恶意数据注入:黑客可以通过收集充电桩(特别是扫码充电)的网络密钥,向系统后台与用户的网络会话中,注入恶意数据。
- 虚假显示信息:黑客可以利用恶意软件,来篡改和伪造显示屏上与用户身份、电量信息、以及消费金额等相关的数据。
- 中断充电会话:黑客可以使用功率不到 1 瓦的软件定义无线电(software-defined radio),在离充电桩近 155 英尺的距离,以无线的方式强制终止当前的充电会话。
- 篡改 WiFi:对于那些家用充电桩而言,攻击者可以利用家里网络中的系统漏洞为跳板,篡改充电桩、以及其他已连入WiFi的设备配置信息。
目前,随着电动汽车的需求量和用户基数的不断攀升,这些攻击会越来越频繁的出现在我们的生活中。
网络安全风险会给电动汽车充电桩带来哪些后果?
信息欺骗、数据盗窃、会话中断、以及系统篡改通常是电动汽车充电桩受到攻击后产生的主要后果。此外,如下潜在的严重后果也不容忽视:
- 隐私泄漏:黑客会利用电动汽车与充电桩的物理连接,从中窃取用户的个人身份信息(如用来付费的信用卡号码)。同时,由于公共充电桩缺乏传输层的安全,因此其极易受到侧信道的攻击(side-channel attacks)。
- 分布式拒绝服务(Distributed denial-of-service,DDoS)攻击:如果黑客通过 DDoS 攻击去系统性地劫持充电桩,就可能导致整个电网的瘫痪。2019 年,纽约大学坦登(Tandon)分校的研究人员发现,他们只需要同时利用 1,000 个电动汽车充电桩连接,就能让一个城市的某个区域陷入停电状态。
- 凭证盗窃:通过恶意数据的注入,黑客可以窃取用户的合法凭证,进而欺骗电动汽车执行非法操作。例如,他们可以利用此类方法,去劫持与充电桩的已连接会话,并且发起伪装攻击。
- 中间人攻击:作为第三者,黑客可以冒充充电桩和电动车的任意一方,发起中间人攻击。轻者,他们可能会成功窃电,重者则会伪造故障错误,阻止电动汽车的后续充电。
- 中断充电会话:黑客极有可能通过提取车辆的 GPS 数据,来查看并获悉充电桩的位置,从而干扰后续的充电过程。其效果类似于 DDoS 攻击。
可见,只要获得足够的知识,黑客只需利用几辆正在充电的电动汽车,就能够让整个电网瘫痪。同时,他们也可以进行大规模的身份盗窃活动,甚至直接让汽车无法运行。
充电桩漏洞的罪魁祸首
联邦政府、特斯拉、以及最大的公共充电桩业务供应商Electrify America(大众集团旗下的充电桩公司)都应该对网络安全负有主要负责。2023 年 1 月,一个攻击者仅使用手机,便完全控制了Electrify America公司的一个公共充电桩。由于充电桩的屏幕上居然显示了疑似后端的内容,因此面对如此显而易见的漏洞,他只用了几秒钟就攻进了充电桩的内部电脑。
好在他的后续举动只是为了向其追随者展示该漏洞,并证明只要有更多的知识,就可以据此窃取个人身份信息。虽然 Electrify America 通过发表声明对其行为提出了警告,并指出未经授权的访问可能会导致严重的犯罪行为,但是该公司除了含糊其辞地表示将开展调查之外,并未立即采取后续行动。
哪些国家正在解决此类网络安全问题
虽然一些政府和公司已采取了积极的措施,来解决电动汽车充电桩的网络安全问题,但是截至 2023 年,这尚未形成普遍的行业要求。正是由于没有标准化的协议可循,因此,整体网络的中任何一个薄弱环节,都可能给所有系统带来安全风险。
业内专家预计,到 2035 年,电动汽车将占新车销售量的 45%,并使得所有乘用车中有近 50%是电动汽车。而且各国政府的激励措施可能会进一步提高这一数字。既然很快就会有更多的电动汽车上路,那么谁来监控并确保它们的安全呢?
英国是少数几个已采取措施,加强充电桩网络安全的国家之一。它要求充电桩具备凭证认证,数据加密,以及信息删除等特性。同时,业务供应商还必须定期提供更新,以尽量减少漏洞被利用的机会。
而截至 2023 年,美国联邦公路管理局和交通部,只为政府资助的项目制定了最低的网络安全标准。虽然这些标准是朝着正确方向迈出的第一步,但是其适用范围仍然比较狭窄。
因此,为了解决电动汽车充电桩的网络安全问题,政府必须深度介入,规定最低限度的安全措施、以及针对消费者的安全要求。
电动汽车充电桩未来的网络安全
综上所述,目前,由于运营公司、安装人员、以及连接的建筑物,对于网络安全的要求尚较为宽松,因此我们可以说大多数充电桩是并不安全的。随着各国政府加强监管和法律法规的出台,以及各个业务供应商、运营商的合规实施,作为未来消费者必备的交通工具,电动汽车及其配套充电桩的网络安全态势,势必得到显著提高。
译者介绍
陈峻(Julian Chen),51CTO社区编辑,具有十多年的IT项目实施经验,善于对内外部资源与风险实施管控,专注传播网络与信息安全知识与经验。
原文标题:Do EV Chargers Present a Cybersecurity Risk? ,作者:Devin Partida