电动汽车在全球范围内的快速增长大大促进私人和公共电动汽车充电设备 (EVSE) 的安装,但是,网络安全研究人员最近发现了 在EVSE 设备、电动汽车 (EV) 通信和上游服务(例如 EVSE 供应商云服务、第三方系统和电网运营商)中存在的多个漏洞。黑客若通过这些漏洞对充电系统发起网络攻击,会对其产生较为严重的破坏,本文调查了公开披露的 EVSE 漏洞、EV 充电器网络攻击的影响,并提出了 EV 充电技术的安全保护措施。
一. EVSE存在巨大的网络安全问题
未来十年,电动汽车将会继续增加,充电桩也将随之批量建设。到2025年,欧盟将会安装超过100万个充电桩,以遏制温室气体排放。 除了电动汽车和充电器在乘用车领域的普及之外,中型和重型(即货运)应用也越来越多地采用电动汽车。
充电供应商和用户都在寻求通过各种高度互连和支持互联网的工具,以优化他们对不断增长的快速充电网络需求。因此,EVSE 必须与云服务、EV 及其电池管理系统等进行通信。而与电网、微电网的电源管理和控制的自动化,网络服务等让 EVSE 连接变的更复杂。
EVSE 连接的广度和复杂性造成了巨大的网络安全问题,并引发了人们的担忧,即网络攻击者可能会使用不安全的充电器作为未经授权的接入点,来滥用充电设备、车辆、建筑物或电网资源。例如电动汽车与经销商、手机、导航、地图、遥测、娱乐、基于车辆的网络浏览器、其他车辆、驾驶员辅助系统、空中软件更新等的接口,使用一系列协议,包括蓝牙、GSM Mobile 和 Wi-Fi。自动驾驶电动汽车进一步增加了网络安全的复杂性,恶意行为者越来越多地瞄准智能手机和车辆系统,以规避无钥匙进入和远程启动。研究人员强调了机载安全关键电子控制单元 (ECU) 的操纵会干扰制动、转向、发动机和电池控制;车辆数据也面临风险,包括远程信息处理、跟踪、客户、经销商和保险数据等。
二. EVSE漏洞
目前,业界已经有多个关于EV/EVSE连接窃取账户凭证或影响充电的网络攻击案例。牛津大学的研究人员 Baker 和 Martinovic 证明,他们可以通过未加密的 ISO 15118/DIN 70121 流量,使用软件定义无线电 (SDR) ,在 CCS 连接上嗅探辐射 HomePlug Green PHY 数据。
还有研究人员在他们的Brokenwire攻击演示中,通过中断 PLC 通信来无线中止充电会话。他们可以使用功率小于 1 W 的 SDR 在 47 m 的距离处中止 CCS 充电会话,并且这种攻击在他们调查的7辆车和 18 个 EVSE 上都成功了。
CCS通信不提供相互认证,存在MITM攻击风险;这给计费数据隐私带来了风险,并且通过窃取 MAC 地址,为用户跟踪创造了可能的途径。爱达荷国家实验室 (INL) 指出,EV 存在将病毒传播到 EVSE 的风险,EVSE 会进一步传播恶意软件。
安全研究人员通过利用V2G Injector(一种用于读写 HomePlug Green PHY 数据的开源工具),复现了攻击者如何发起网络攻击,收集网络密钥并将数据注入 CCS 高效 XML 交换 (EXI) 网络会话。通过将V2G Injector与 Apache 日志包 (Log4j) 漏洞相结合,还可以在EVSE上提升访问权限。
此外还有数据泄露、会话劫持、中间机器 (MITM)攻击、拒绝服务 (DoS)、隐私风险和伪装攻击等。
三.常见的充电桩漏洞
接下来我们列举几项常见的充电桩漏洞。
1.电动汽车操作界面漏洞
早期的 EVSE 基础设施容易受到 RFID 克隆和其他授权绕过机制的影响,可以在本地访问设备。2017 年,弗劳恩霍夫工业数学研究所 (ITWM) 研究员 Mathias Dalheimer 在全球通信大会上展示了公共充电基础设施中计费交易和 RFID 卡数据存储方面的薄弱安全实践,演示了如何以其他人的借记卡或信用卡来缴纳充电费用,这类问题在手机、MIFARE Classic(13.56 MHz 非接触式智能卡)上同样存在。
另一位安全研究人员INL 在 2014 年至 2017 年间进行了六次 2 级 SAE J1772 EVSE 评估。他们发现一些 EVSE 设备包括专为客户管理其充电会话而设计的 iOS 和 Android 应用程序。这些应用程序可以很容易地进行逆向工程,以揭示 EVSE 管理和供应商云接口中的弱点。
2.EVSE 互联网接口漏洞
EVSE 设备通常包括本地网络服务器或连接到云环境以中继来自充电点运营商、EVSE 所有者或司机的信息。我们调查了与互联网通信相关的漏洞,并将这些漏洞分为 (a) 本地 Web 界面,(b) 可远程访问 EVSE 设备,以及 (c) EVSE 与后端系统的通信。在后两者的情况下,由于可扩展性风险,公共互联网上的远程通信尤其令人担忧。
2.1 Web服务漏洞
EVSE 设备的一个常见问题是存在可从智能手机或计算机本地访问的不安全网络服务。这些服务应该通过防火墙与更广泛的互联网隔离,但这些漏洞可能会通过 EVSE 使家庭和企业网络遭到破坏。
Pen Test Partners在报告中指出,EVSE 设备存在多个本地 Web 服务问题:EVBox Web API 漏洞允许帐户劫持;EO mini pro 允许攻击者在没有任何身份验证的情况下更改配置数据;Shenzen Growatt 应用程序编程接口 (API) 允许固件更新,可以访问家庭网络等。
此外,安全研究人员还发现了多个漏洞,这些漏洞会影响收费流程、设置/固件、计费、PII 和用户数据,以及通过僵尸网络对 Web 端点进行 DDoS 和暴力攻击的可能性。
卡巴斯基实验室也发现,ChargePoint 智能手机应用程序可以使用 Web 服务器,利用网关接口 (CGI) 二进制文件中的缓冲区溢出远程篡改充电会话。该网站漏洞可能会导致充电停止,攻击者任意调节电源电压、电流,从而导致断路器跳闸、线路过热,或者在最坏的情况下引发火灾。
2.2 可通过互联网访问的 EVSE 服务
阿贡国家实验室 (ANL) 和伊利诺伊理工学院 (IIT) 在研究中发现,使用 Shodan、Nmap 和SearchSploit 工具可在公共互联网上定位多个 EVSE 充电器,一些设备还存在运行不必要或过时的服务、弱密码以及缺少登录超时的安全功能。
此外还有一些其他的漏洞利用案例。例如西班牙 Circontrol CirCarLife 网络服务软件曾公开了系统软件信息、状态和关键设置信息,未经身份验证或非特权用户可以访问或泄露这些信息。
有安全研究人员曾在SSH 服务上发现了一个弱密钥交换算法,并且没有安全保护。还有一些其他漏洞:Web 服务使用未加密的登录通道,可通过伪造会话存储 cookie 绕过该通道;使用不安全的密码或不安全的自签名证书;SQL 服务器容易泄露数据等。
2.3 与后端服务器或云系统的通信
EVSE 供应商、电动汽车服务提供商等大多使用 Amazon Web Services、Google Cloud、Azure 或其他云平台托管在云中,以提供各种远程监控或其他服务,但通常会暴露不安全的远程管理功能。
INL 评估后发现,EVSE 管理应用程序缺乏适当的身份验证方法,例如客户端验证、未加密 HTTP 服务以及更易受 SQL 注入攻击等。
开放式充电点接口 (OCPI)使用了云通信,允许充电提供商无需下载额外的APP即可向其他提供商收费。但是ChargePoint GraphQL 端点公开暴露了其 API 接口的详细信息,这可能导致相关的网络攻击,并连接到使用了ChargePoint系统的几十万个充电器。而开放式充电点协议 (OCPP) 通常用于 EVSE 设备与后端或云网络之间,以配置充电器和获取充电统计数据。该协议的早期版本使用未加密的 HTTP,因此存在拦截交易数据的风险。
供应链漏洞也是电动汽车充电业务极易遭遇安全风险的地方。2022年初,俄罗斯入侵乌克兰期间,莫斯科和圣彼得堡之间 M-11 高速公路沿线的 EV 充电器被禁用,并显示反普京和亲乌克兰的信息。之所以出现这样的情况,是因为俄罗斯 EV 充电器供应商 Gzhelprom 将组件(包括数据控制器)外包给了乌克兰公司AutoEnterprise,该公司保持远程后门访问和充电功能控制。
2.4 EVSE 维护接口和硬件/软件漏洞
网络安全研究人员在 EVSE 上运行的硬件和软件中发现了多个漏洞。Fraunhofer 研究的两个 EVSE 设备包括 USB 端口,可以复制日志和配置数据,包括 OCPP 服务器登录名和密码,以及之前用户的身份验证令牌。此外,攻击者还可修改 USB 驱动器上的配置数据并重新插入EVSE的下一次更新中。
INL 还发现大部分EVSE设备都运行着过时的 Linux 内核,其中包含多余的服务;进程以 root 用户身份运行,存储密码更容易被破解;部分设备不包括安全启动;固件未签名;JTAG 接口允许直接控制处理器;可以绕过物理篡改检测工具等。卡巴斯基实验室还发现,他们可以使用 EVSE 上的光电二极管接收到的特殊闪烁模式来触发恢复出厂设置。
Pen Test Partners在报告中指出,EO Mini Pro 2、Hypervolt 和 Wallbox EVSE 设备在其产品中使用了 Raspberry Pi 单板计算机。这些廉价计算机不包含安全引导加载程序,因此它们上的任何数据都可以被物理窃取。
四.充电桩漏洞正在带来严重的安全风险
总的来说,充电桩漏洞正在带来严重的安全风险,涉及EVSE 和 EV 功能和安全、个人和公司隐私、金融运营和电网运营等,甚至还会对 EVSE 附近的人员和设备造成危害、车辆失能、损坏以及干扰电网功能。在这里,我们将影响分解为功能、财务/隐私、安全和电网影响四个方面。
4.1 充电功能障碍
正如许多网络安全研究人员所报告的那样,网络攻击可以禁用单个 EVSE 设备、EVSE 车队或所有供应商拥有的设备。随着越来越多的交通部门实现电气化,EVSE 的广泛中断可能会严重影响一系列关键基础设施:应急和医疗服务、食品和农业、制造业、国防等。INL指出,恶意攻击者通过利用漏洞,可实现禁用所有充电器,还能从车辆和 EVSE 伪造 SOC,这可以防止车辆完全充电/拒绝充电。
4.2 财务/隐私影响
未经授权访问 EVSE 设备或后端管理系统可能导致个人身份信息 (PII) 数据被盗,伪造账单或泄露支付数据等。这些事件将会潜在影响EVSE 运营商和 EV 司机。正如 Pen Test Partners 研究表明的那样,不安全的 EVSE 设备的另一个风险是企业间谍活动,因为不安全的设备可能会将企业网络暴露给对手,然后他们可以窃取敏感软件或数据。
4.3 安全影响
EV 和 EVSE 中的安全系统可防止过流事件、电池过度充电和其他危险后果。但如果充电系统被黑客攻击,那么很有可能导致过度充电风险,甚至是对车辆电池操作发起向量攻击。无线电力传输 (WPT) EVSE 技术也有望在某个时候出现在市场上,这将引发新的安全问题。例如,INL 在其后果分析中指出了 WPT 对医疗设备的潜在安全风险。通过恶意固件更新、权限提升或其他攻击,可能会允许攻击者禁用 EVSE 上的网络安全关键保护。
4.4 对电力系统影响
最近,研究人员一直在研究恶意控制 EVSE 设备如何导致电力系统误操作。在设备层面,INL 破坏了电力电子模块之间的协调,产生了 >20% 的总谐波失真,并将功率因数降低到 0.8 以下。对充电基础设施的网络攻击可能会影响电力市场。例如MITM OCPP 攻击可用于能源盗窃、欺诈,或者在聚合级别上破坏电力运行、发电机调度和经济调度。
也有安全人员研究了协调负荷操纵对配电和输电系统的影响。使用高功率设备中断电力系统运行在理论上是可能的,只要有足够的可控负载。动态负载调制对电力系统稳定性也存在潜在风险。如果EVSE 总负载增加,并且攻击者可以控制 EVSE 负载控制器,那么理论上可以操纵大容量电力系统频率,给电力系统带来严重的安全风险。
五、加强网络安全防护
美国 DOT Volpe 国家运输系统中心、国家汽车货运协会牵头的一项主要活动,为中型和重型车辆的 XFC 站制定了广泛的要求清单。参与机构包括联邦机构、电动卡车原始设备制造商、充电站供应商和公用事业等,涉及设计、日志记录、生命周期和治理、密码学、通信、保证、强化、弹性和安全操作等领域。
欧盟也在加强这方面的网络安全防护,联合欧洲各国共同制作了多个参考文件,其中涵盖风险评估、安全架构、EV充电基础设施的采购和安全要求,以及 EV 充电站的安全测试计划 等。
越来越多的企业和机构正在持续强化EV/EVSE的网络安全防护,包括建议 CCS 会话在中断后重新进行身份验证,研究人员还为 EV 到 EVSE 通信系统设计了多项安全改进措施。为了更好地保护 EVSE 互联网接口,许多研究人员建议提供更强大的加密和 TLS 技术。根据 NISTIR 7628 密码学和密钥管理指南,建议端到端加密以提供计量、计费和收费数据完整性和更高的机密性。
INL 开发了诊断安全模块 (DSM),以在基于协处理器的入侵检测系统的基础上,提供 EV 到EVSE的安全性。DSM 旨在与 EV、EVSE 和能源管理系统 (BEMS) 集成,以便向 BEMS 操作员报告可疑或异常行为
上文指出,用户身份验证机制很薄弱,因此许多研究人员建议通过 Lamport 的登录、基于密钥的质询-响应对、多样化密钥或带有绑定到 PKI 的私钥的 RFID 对客户身份进行更强的验证。
另外,美国国家可再生能源实验室 (NREL) 列举了许多风险缓解技术和潜在的采购要求,以保护对 EVSE 的物理访问和远程访问。他们建议使用 256 位密码套件加密静态数据和动态数据,删除所有外部端口,添加篡改警报,并使用联邦风险和授权管理计划 (FedRAMP) 认证云服务。
Gottumukkala 建议通过设计安全原则、软件安全性、硬件安全性以及篡改监控和抵抗来增强 EVSE 安全性。EPRI 研究了一种安全网络接口卡 (S-NIC),它封装了 EVSE 子系统通信并包括安全启动和防篡改技术等。
六、讨论
工业控制系统网络安全涉及识别和改进系统弱点,这是一个永无止境的过程。漏洞研究是展示对 EVSE 安全的最先进和深刻需求的关键工具。正如上文提及的那样,EVSE 制造商和网络运营商应建立健全的网络安全计划,使制造商和运营商能够不断降低电动汽车充电生态系统的风险。而维持一个活跃的白帽黑客社区,致力于识别 EV 充电器中的弱点,将有助于保护 EVSE 系统免受恶意对手的攻击。负责任的披露模型为供应商和研究人员都带来了好处:发现的漏洞将报告给适当的组织进行调解,然后与研究社区共享,以在未来更好地保护 EV 充电系统。
随着交通运输行业进一步电气化,EVSE 安全对于维持关键的机动性、航运和电力系统运行至关重要。在过去多年,在 EV 到 EVSE、EV 运营商、互联网/蜂窝/云和维护接口中发现了多个漏洞,这些漏洞对 EV 运营商隐私、运营商安全、金融系统和电力系统运营构成了重大风险。
幸运的是,已经提出了一些新的指南、最佳实践、安全技术和实施建议来解决电动汽车充电的弱点。网络安全研究界、EVSE 行业和其他利益相关者需继续共同努力,实施实用且面向未来的安全解决方案,以弥补生态系统安全态势方面的差距。EVSE 供应商必须整合持续流程,通过内部和外部评估以及漏洞赏金计划来强化其基础设施。
未来的研究应包括扩大 EVSE 渗透测试的范围和深度,开发 EVSE 定制的基于网络和主机的入侵检测系统,纳入零信任原则,并进一步探索电力、安全和其他影响。
参考来源
https://www.mdpi.com/1996-1073/15/11/3931