今年初,新能源汽车充电桩被列为国家“新基建”的七大领域之一,再次带动了充电桩的快速增长。据电动知家了解 ,截至2020年6月底,全国各类充电桩保有量达132.2万个,其中公共充电桩为55.8万个,数量位居全球首位。
然而,伴随智能化和网联化的发展,车桩信息互联互通带来了服务水平和服务质量、便民程度提升的同时,也面临一个不容忽视的安全问题——充电桩信息安全。
近日,以“极有担当,无畏逆行”为主题的国际安全极客大赛(GeekPwn 2020)在上海开幕。本次大赛汇聚全球顶尖的白帽黑客和少年极客,聚焦云、AI、5G等前沿技术,通过预演安全威胁,打响“新基建”安全前哨战,助力产业稳固发展。在此次大赛上,自腾讯的参赛队伍Blade Team亮相赛场,并成功实现了对“无感支付”式直流充电桩的漏洞攻击演示。
在比赛中,Blade Team安全研究员模拟攻击者身份,使用自制转接头,利用电动汽车BMS与直流充电桩通信协议中的身份认证漏洞,只需获取受害者的车架号码,即可盗用受害者的账户余额,为自己的车免费充电,轻松完成“盗刷”操作。
“目前新能源汽车的车辆身份标识多存在于车身外部 ,属于公 开信息,也有很多黑产渠道会贩卖这类车辆数据,这种方法一旦被黑产 掌 握,有被大规 模恶意利用的 风险。 ”Blade Team高级安全研究员Nicky介绍道。 据了解,此次发现的漏洞属于充电通信协议层面缺陷,采用相同技术方案的“无感支付”式直流充电桩均受 其影响。而即插即充、无感支付更是当前充电桩行业的主流发展趋势,采用“无感支付”技术的充电桩仅需在初次绑定环节对用户进行身份认证,充电时即可自动识别车辆身份标识,在充电完成后从绑定账户中进行相应扣款。此次Blade Team发现的漏洞是国内首个充电桩行业安全漏洞,影响面大、修复难度高,对于行业健康发展具有很强的风险提示价值。
当前,我国新能源汽车行业正蓬勃发展,充电桩作为新基建的重点领域之一,同时也是新能源汽车最重要的基础设施,其安全性不容小视。充电桩或充电站存在点多、面广、分散的特点,其国内端、管、云均缺少有效的安全防护机制,每个节点都容易遭到入侵,如充电桩自身的系统安全,与本地充电站的数 据传输、充电站与运营平台的数据传输,运营平台的平稳运营,用户结算安全等多个领域均存在安全隐患。
事实上早在18年年底,施耐德电气就已发布安全公告,承认其公司旗下电动汽车充电桩产品EVLink Parking受到多个安全漏洞的影响,包括一个紧急漏洞、一个高危漏洞和一个中危漏洞。施耐德表示,漏洞是由一个硬编码的凭证漏洞引起的,一旦被利用,黑客就能获得整个系统的访问权。施耐德还解决了一个代号为 CVE-2018-7801 的代码注入漏洞,以及一个代号为CVE-2018-7802 的 SQL 注入 bug。其中,那个代码注入漏洞危险等级非常高(CVSS 8.8),一旦被利用,黑客执行远程代码就能获得最高权限。
不过,对于 新能源汽车的普通用户,Blade Team研究员也表示无需过度恐慌,该攻击的实现需要专业知识和专用设备,真正利用漏洞有一定门槛。在厂商修复该漏洞前,尽量选择传统的二维码扫码等充电支付方式,即可规避不利影响。
新能源汽车充电桩具有投资金额大、产业链条长的特点,它是新能源汽车产业发展的重要保障,是智慧交通、智慧能源等新兴数字经济的重要组成部分。在我国新基建政策的加持下,充电桩市场正迎来黄金发展期,充电桩市场将大幅放量,未来十年预计将形成万亿元的充电桩基础设施建设市场。只有在安全性得到保证的情况下,充电桩市场才能健康长远的发展。
随着新能源汽车充电桩的大规模建设和投入运营,现有的安全架构、安全技术、安全机制已经无法满足智能充电桩的安全需求,对于安全厂商来说,这将是一个新的蓝海。