电动汽车充电站曝出大量安全漏洞

随着道路上电动汽车数量不断增加，对电动汽车充电桩/站和充电站联网管理系统的需求也在增加。然而，这些管理系统正面临着一个潜伏的杀手：网络攻击。

电动汽车充电站的盲区：网络攻击

最新的安全研究显示，电动车充电基础设施存在大量安全漏洞。UTSA网络安全与分析中心主任Elias Bou-Harb和他的同事——迪拜大学的Claud Fachkha和蒙特利尔康考迪亚大学的Tony Nasr、Sadegh Torabi和Chadi Assim在一篇论文中调查并分析了这些漏洞，同时还给出了安全加固的建议。

全球主流的电动汽车管理系统（EVCSMS）需要通过互联网执行关键任务，例如远程监控和客户计费，越来越多的互联网电动汽车充电站也是如此。

在最新的研究项目中，Bou-Harb和他的同事就网络攻击对电动汽车充电系统的现实影响，以及如何缓解这些网络安全威胁进行了研究。该团队还评估了被利用的电动车充电站系统将如何攻击电网等关键基础设施。

“电动汽车是当今社会的新常态。然而，很少有人知道电动汽车的充电站非常容易受到安全漏洞的影响。”Bou-Harb说。“在这项工作中，我们努力发现它们相关的安全漏洞，并了解它们对电动汽车和智能电网的影响，同时提供建议并与相关行业分享我们的发现，以进行主动安全补救。”

13个高危漏洞，可危及智能电网

该团队对市场上常见的16个电动汽车充电管理系统按照固件、移动程序和Web应用等不同攻击面进行分类并进行了深入的安全分析。

“我们设计了一种系统查找和收集方法来识别大量电动汽车充电系统，然后利用逆向工程和白盒/黑盒Web应用程序渗透测试技术来执行彻底的漏洞分析。”Bou-Harb说。

图示：研究人员识别和分析联网电动车管理系统的方法

该团队在16个系统中发现了一系列漏洞（下图），其中13个属于严重漏洞，例如缺少身份验证和跨站点脚本。通过利用这些漏洞，攻击者可能会导致一些问题，包括操纵固件或将自己伪装成实际用户以及访问用户数据。

根据研究人员最近的一份白皮书，“虽然可以对电动汽车生态系统中的各种实体实施多种手段的攻击，但在这项工作中，我们专注于调查可对充电站及其用户和所连接的电网产生严重影响的大规模攻击。”

在论文中，研究团队为电动车管理系统的开发人员制定了多项安全措施、指南和最佳实践，以减轻网络攻击，还制定了对策来修补上述发现的每个漏洞。

为了防止对电网的大规模攻击，研究人员建议开发人员尽快修补现有漏洞，同时在充电站制造过程的初始阶段就整合安全措施：

“电动车安全领域许多行业成员已经承认我们发现的漏洞。”Bou-Harb介绍：“这些信息将有助于对充电站进行安全加固，以保护公众和关键基础设施，并为电动汽车和智能电网的未来安全解决方案提供建议。”

论文链接：

https://www.utsa.edu/today/2022/01/story/elias-bou-harb-ev-charging-stations-cyberattacks.html

（来源：@GoUpSec）