充電樁助攻heike ？電動汽車對新型攻擊毫無防御能力

來源：發(fā)布時間：2024-08-05

德克薩斯州的美國西南研究院（Southwest Research Institute, SwRI）的工程師發(fā)現(xiàn)了電動汽車快速充電站的一個漏洞，該漏洞允許heike獲得未經(jīng)授權(quán)的訪問，甚至修改固件。

直流快速充電是更快、更常用的電動汽車充電方式。高壓技術(shù)依靠電力線通信 (PLC) 技術(shù)在車輛和充電設(shè)備之間傳輸智能電網(wǎng)數(shù)據(jù)。這項技術(shù)同樣允許通過電線傳輸語音、視頻和互聯(lián)網(wǎng)流量。這種交換信息的方法已有百年歷史：它于1922年被發(fā)明并開始使用。

目前，全球道路上大約有4000萬輛電動汽車在行駛。大約86%的車主選擇在家中為汽車充電，約59%的車主每周使用公共充電站。在美國，大約有10,000個直流快速充電（Direct Current Fast Charging, DCFC）站，為車主帶來了許多潛在的安全漏洞。

三級充電站使用基于互聯(lián)網(wǎng)協(xié)議第六版（IPv6）的協(xié)議與車輛通信、監(jiān)控和收集數(shù)據(jù)，包括充電狀態(tài)和車輛識別號碼。西南研究院的研究人員發(fā)現(xiàn)了PLC層面的漏洞，這些漏洞使他們能夠訪問充電站和聯(lián)網(wǎng)汽車的網(wǎng)絡(luò)密鑰和數(shù)字地址。這得益于專門的中間人攻擊（Man-In-The-Middle, AitM）。

SwRI的首席工程師Katherine Kozan表示：“我們的測試表明，PLC層面的安全性很差，并且車輛與充電站之間的通信缺乏加密?！?

SwRI團隊開發(fā)了一種中間人 (AitM) 設(shè)備，該設(shè)備配有zhuanyong軟件和經(jīng)過修改的組合充電系統(tǒng)接口。AitM允許測試人員qieting電動汽車和EVSE之間的通信，以收集數(shù)據(jù)、進行分析和潛在攻擊。通過確定電動汽車和EVSE的媒體訪問控制地址，該團隊確定了允許設(shè)備加入網(wǎng)絡(luò)并監(jiān)控通信的網(wǎng)絡(luò)成員密鑰。

通過不安全的直接訪問密鑰授予網(wǎng)絡(luò)訪問權(quán)限，PLC設(shè)備上的非易失性內(nèi)存區(qū)域可以輕松被檢索和重新編程。這為固件損壞等破壞性攻擊打開了大門。

在2020年初，該研究所的成員成功pojie了J1772充電系統(tǒng)，模擬惡意攻擊，發(fā)送信號以模擬過度充電，改變電流速率，甚至完全中斷充電過程。

三級充電站中的漏洞使?jié)撛诘膆eike可以走得更遠，例如，將惡意代碼嵌入到汽車的固件中，更改其功能或禁用它們，以及提供通過互聯(lián)網(wǎng)遠程控制汽車的能力。

此類攻擊的一個例子是2015年發(fā)生的事件，來自密蘇里州的heike控制了一輛吉普切諾基，控制其行駛，甚至通過利用內(nèi)置多媒體系統(tǒng)中的漏洞使剎車失靈。

SwRI的工程師FJ Olugbodi表示：“通過不安全的密鑰進行的網(wǎng)絡(luò)訪問使得PLC設(shè)備可以被輕易刪除和重新編程，從而為固件損壞等破壞性攻擊打開了大門?！?

攻擊者更改電動汽車的固件可能會給駕駛員和其他人帶來嚴重后果?，F(xiàn)代汽車配備了各種軟件、處理器和互聯(lián)網(wǎng)連接，本質(zhì)上正在轉(zhuǎn)變?yōu)橐苿訑?shù)據(jù)中心。

例如，新型的Tesla車型使用了AMD Ryzen CPU和AMD Radeon GPU，與家用臺式電腦類似。該汽車還有大約63個其他處理器來執(zhí)行其他特定任務(wù)。

西南研究院的工程師們已經(jīng)針對此類攻擊找到了潛在的解決方案。研究人員開發(fā)了一種專門用于電動汽車的新型“零信任”架構(gòu)。

零信任原則基于這樣的假設(shè)：如果攻擊者想要穿透您的防火墻，他們很可能會成功，而您將無法阻止他們。然而，實現(xiàn)零信任需要在執(zhí)行命令之前，對每個數(shù)字資產(chǎn)進行根級別的驗證，確認其身份和與網(wǎng)絡(luò)的關(guān)聯(lián)。在這種情況下，網(wǎng)絡(luò)就是汽車本身。

該系統(tǒng)還能夠監(jiān)控其完整性，實時識別任何異常情況和非法通信數(shù)據(jù)包，以防攻擊者確實侵入汽車。盡管零信任架構(gòu)尚未在現(xiàn)代汽車中廣泛應(yīng)用，但SwRI工程師的發(fā)展可能是其普遍實施的良好開端。

領(lǐng)導(dǎo)了SwRI零信任技術(shù)開發(fā)的Maggie Shipman強調(diào)，從設(shè)計階段就考慮網(wǎng)絡(luò)安全的重要性，并指出零信任方法不僅適用于商用車輛，同樣適用于junyng車輛。盡管實施零信任架構(gòu)可能會帶來額外成本，但它為車輛提供了quanmian 的保護層，有助于防止惡意攻擊和未經(jīng)授權(quán)的訪問。SwRI的這項突破性技術(shù)有望在未來幾年內(nèi)廣泛應(yīng)用于汽車行業(yè)。

標簽：新能源充電樁存安全隱患江蘇哪里有新能源充電樁有哪些江蘇新能源新能源充電樁推薦廠家

上一篇 新能源汽車充電樁為什么跳qiang？

下一篇 在科技日新月異的現(xiàn)在，你對充電樁新科技了解多少？

相關(guān)新聞