充電樁助攻heike ？電動(dòng)汽車對(duì)新型攻擊毫無(wú)防御能力

來(lái)源：發(fā)布時(shí)間：2024-08-05

德克薩斯州的美國(guó)西南研究院（Southwest Research Institute, SwRI）的工程師發(fā)現(xiàn)了電動(dòng)汽車快速充電站的一個(gè)漏洞，該漏洞允許heike獲得未經(jīng)授權(quán)的訪問，甚至修改固件。

直流快速充電是更快、更常用的電動(dòng)汽車充電方式。高壓技術(shù)依靠電力線通信 (PLC) 技術(shù)在車輛和充電設(shè)備之間傳輸智能電網(wǎng)數(shù)據(jù)。這項(xiàng)技術(shù)同樣允許通過電線傳輸語(yǔ)音、視頻和互聯(lián)網(wǎng)流量。這種交換信息的方法已有百年歷史：它于1922年被發(fā)明并開始使用。 from clipboard

目前，全球道路上大約有4000萬(wàn)輛電動(dòng)汽車在行駛。大約86%的車主選擇在家中為汽車充電，約59%的車主每周使用公共充電站。在美國(guó)，大約有10,000個(gè)直流快速充電（Direct Current Fast Charging, DCFC）站，為車主帶來(lái)了許多潛在的安全漏洞。

三級(jí)充電站使用基于互聯(lián)網(wǎng)協(xié)議第六版（IPv6）的協(xié)議與車輛通信、監(jiān)控和收集數(shù)據(jù)，包括充電狀態(tài)和車輛識(shí)別號(hào)碼。西南研究院的研究人員發(fā)現(xiàn)了PLC層面的漏洞，這些漏洞使他們能夠訪問充電站和聯(lián)網(wǎng)汽車的網(wǎng)絡(luò)密鑰和數(shù)字地址。這得益于專門的中間人攻擊（Man-In-The-Middle, AitM）。

SwRI的首席工程師Katherine Kozan表示：“我們的測(cè)試表明，PLC層面的安全性很差，并且車輛與充電站之間的通信缺乏加密。”

SwRI團(tuán)隊(duì)開發(fā)了一種中間人 (AitM) 設(shè)備，該設(shè)備配有zhuanyong軟件和經(jīng)過修改的組合充電系統(tǒng)接口。AitM允許測(cè)試人員qieting電動(dòng)汽車和EVSE之間的通信，以收集數(shù)據(jù)、進(jìn)行分析和潛在攻擊。通過確定電動(dòng)汽車和EVSE的媒體訪問控制地址，該團(tuán)隊(duì)確定了允許設(shè)備加入網(wǎng)絡(luò)并監(jiān)控通信的網(wǎng)絡(luò)成員密鑰。

通過不安全的直接訪問密鑰授予網(wǎng)絡(luò)訪問權(quán)限，PLC設(shè)備上的非易失性內(nèi)存區(qū)域可以輕松被檢索和重新編程。這為固件損壞等破壞性攻擊打開了大門。

在2020年初，該研究所的成員成功pojie了J1772充電系統(tǒng)，模擬惡意攻擊，發(fā)送信號(hào)以模擬過度充電，改變電流速率，甚至完全中斷充電過程。 from clipboard

三級(jí)充電站中的漏洞使?jié)撛诘膆eike可以走得更遠(yuǎn)，例如，將惡意代碼嵌入到汽車的固件中，更改其功能或禁用它們，以及提供通過互聯(lián)網(wǎng)遠(yuǎn)程控制汽車的能力。

此類攻擊的一個(gè)例子是2015年發(fā)生的事件，來(lái)自密蘇里州的heike控制了一輛吉普切諾基，控制其行駛，甚至通過利用內(nèi)置多媒體系統(tǒng)中的漏洞使剎車失靈。

SwRI的工程師FJ Olugbodi表示：“通過不安全的密鑰進(jìn)行的網(wǎng)絡(luò)訪問使得PLC設(shè)備可以被輕易刪除和重新編程，從而為固件損壞等破壞性攻擊打開了大門?！?

攻擊者更改電動(dòng)汽車的固件可能會(huì)給駕駛員和其他人帶來(lái)嚴(yán)重后果。現(xiàn)代汽車配備了各種軟件、處理器和互聯(lián)網(wǎng)連接，本質(zhì)上正在轉(zhuǎn)變?yōu)橐苿?dòng)數(shù)據(jù)中心。

例如，新型的Tesla車型使用了AMD Ryzen CPU和AMD Radeon GPU，與家用臺(tái)式電腦類似。該汽車還有大約63個(gè)其他處理器來(lái)執(zhí)行其他特定任務(wù)。

西南研究院的工程師們已經(jīng)針對(duì)此類攻擊找到了潛在的解決方案。研究人員開發(fā)了一種專門用于電動(dòng)汽車的新型“零信任”架構(gòu)。

零信任原則基于這樣的假設(shè)：如果攻擊者想要穿透您的防火墻，他們很可能會(huì)成功，而您將無(wú)法阻止他們。然而，實(shí)現(xiàn)零信任需要在執(zhí)行命令之前，對(duì)每個(gè)數(shù)字資產(chǎn)進(jìn)行根級(jí)別的驗(yàn)證，確認(rèn)其身份和與網(wǎng)絡(luò)的關(guān)聯(lián)。在這種情況下，網(wǎng)絡(luò)就是汽車本身。

該系統(tǒng)還能夠監(jiān)控其完整性，實(shí)時(shí)識(shí)別任何異常情況和非法通信數(shù)據(jù)包，以防攻擊者確實(shí)侵入汽車。盡管零信任架構(gòu)尚未在現(xiàn)代汽車中廣泛應(yīng)用，但SwRI工程師的發(fā)展可能是其普遍實(shí)施的良好開端。

領(lǐng)導(dǎo)了SwRI零信任技術(shù)開發(fā)的Maggie Shipman強(qiáng)調(diào)，從設(shè)計(jì)階段就考慮網(wǎng)絡(luò)安全的重要性，并指出零信任方法不僅適用于商用車輛，同樣適用于junyng車輛。盡管實(shí)施零信任架構(gòu)可能會(huì)帶來(lái)額外成本，但它為車輛提供了quanmian 的保護(hù)層，有助于防止惡意攻擊和未經(jīng)授權(quán)的訪問。SwRI的這項(xiàng)突破性技術(shù)有望在未來(lái)幾年內(nèi)廣泛應(yīng)用于汽車行業(yè)。

標(biāo)簽：新能源充電樁存安全隱患江蘇哪里有新能源充電樁有哪些江蘇新能源新能源充電樁推薦廠家

上一篇 新能源汽車充電樁為什么跳qiang？

下一篇 在科技日新月異的現(xiàn)在，你對(duì)充電樁新科技了解多少？

相關(guān)新聞