智能电动车充电桩安全测试
2021-08-04 12:00:00 Author: www.4hou.com(查看原文) 阅读量:36 收藏

ev-charger-headline.webp.jpg

在过去的18个月里,Pen Test Partners网络安全团队一直在调查智能电动汽车充电桩的安全性。充电桩的这些功能允许车主远程监控和管理汽车充电桩的充电状态、速度和时间等。研究人员购买了6个不同品牌的充电桩,并评估了一些公共充电网络的安全性。

移动应用程序都通过 API 和基于云的平台与充电桩通信,充电桩通常连接到用户的家庭 Wi-Fi 网络。

以下是研究人员的7个发现:

1.研究人员发现了可以劫持数百万智能电动汽车充电桩账户的漏洞;

2.一些电动汽车充电桩平台存在API授权问题,允许帐户被接管和远程控制所有充电桩;

3.根本不需要平台没有授权,攻击者就可以知道一个简短的、可预测的设备ID,就可以完全远程控制充电桩;

4.同一个充电桩没有固件签名,允许远程推送新的固件,充电桩用作家庭网络的支点;

5.一个公共充电平台暴露了一个未经身份验证的GraphQL终端,研究人员认为它也暴露了所有用户和充电桩数据;

6.一些电动汽车充电桩是建立在树莓派计算模块上的,该模块可以轻松提取所有存储数据,包括凭证和Wi-Fi PSK;

7.由于可能会同步打开和关闭所有充电桩,由于备用容量难以维持电网频率,电力需求波动较大,因此有可能导致电网出现稳定性问题;

所有API和硬件漏洞都被成功地披露给了相关供应商,所有的API漏洞都得到了纠正。

截止发稿,树莓派的硬件问题仍然存在,但考虑到需要物理访问充电桩,攻击的风险似乎很低。作为预防措施,可以断开家用wi - fi充电桩和更换PSK。另一种选择可能是将充电桩的面板粘在后面,尽管这看起来有点极端。

智能家用充电桩

研究人员查看的 6 个不同的流行品牌中有几个在其 API 中存在帐户劫持漏洞,所有这些都获得了英国政府资助资金的认可,其中包括在欧洲和美国广受欢迎的品牌。

研究人员研究了以下品牌:

◼Project EV / ATESS / Shenzen Growatt

◼Wallbox

◼EVBox

◼EO Hub and EO mini pro 2

◼Rolec

◼Hypervolt

Project EV / ATESS / Shenzen Growatt

Project EV电动汽车充电桩由ATESS公司生产,采用深圳格沃特提供的API和平台。

这是目前最不安全的充电桩,研究人员可以劫持用户帐户并阻止用户交费。

1.webp.jpg

研究人员还可以远程向充电桩推送更新的软件,这使研究人员能够将充电桩用作用户家庭网络的远程“后门”,通过这个后门,攻击者可能会进一步危害用户家中的其他设备。

Project EV API在第一次登录请求上检查了正确的凭据,这是一个POST:/ocpp/user

然而,实际上并不需要登录,因为它只是假设之后传递给它的所有参数都是正确的!

这可能允许攻击者访问和控制任何充电桩,只要他们知道充电桩的用户名或序列号。

序列号具有可预测的格式,可以很容易地强制使用,以便你可以枚举所有充电桩的存在。

示例请求:

锁定充电桩,停止充电:

2.png

解锁充电桩:

3.png

信息披露

Project EV没有回应研究人员最初的公开尝试,但在与BBC联系后,实施了强认证和授权,并为充电桩进行了固件更新。深圳Growatt也是迄今为止最大的平台,它上面有大约 290 万台设备,所有这些都可以通过缺乏强大的身份验证和请求授权来远程利用。

Wallbox

Wallbox 在其 API 中有两个独立的不安全直接对象引用,这允许帐户劫持。

4.webp.jpg

5.png

研发者还为他们的充电桩使用了树莓派计算模块。虽然树莓派适合研究,但研究人员认为它不适合在公共设备中用于商业用途,因为很难完全保护它以防止恢复存储的数据。

信息披露

研究人员向 Wallbox 披露了这些信息,Wallbox 在几天内修复了 API 问题。他们还向研究人员展示了他们计划中的新硬件平台,但希望签署保密协议。研究人员拒绝了,因为研究人员更想知道他们是否会免费用新充电桩更换现有用户的充电桩。

EVBox

自从EVBox2018年宣布收购法国快速和超快充电站制造商EVTronic后,EVBox将其全球基地扩展到60000个已安装的充电点,包括700个快速充电(DC)站。

自2007年以来,EVTronic为电动汽车设计,开发,制造和销售一系列快速充电站。与此同时,该公司积极参与研发,专注于V2G(车对电网)技术。

EVBox是所有充电桩制造商中反应最快的。允许帐户劫持的 API 漏洞在大约 24 小时内得到确认并修复,这是一个非常令人印象深刻的响应。

在EVBox API上,可以更改用户角色。这可以通过观察请求配置文件时的响应并查看你的配置文件请求的更新来实现,之后尝试并验证缺失值是否有效:

6.png

使用任何接受的角色名称(在添加随机值时从错误消息中获得)添加角色数组将使特权升级成为可能。添加租户管理员角色时,用户对租户和由其控制的所有充电桩具有完全管理权限。

7.png

在平台上授予管理员权限:

8.webp.jpg

EO Hub 和 EO mini pro 2

EO 率先在英国推出智能充电桩,使用 EO Hub 进行控制,但在安全性方面存在“先发劣势”。充电桩“智能”也建立在树莓派上的,这是很难保障安全的,因为树莓派天生存在引导加载程序的安全问题。EO 对研究人员的披露迅速做出了回应,并将他们的整个系统重新构建到一个新的、更安全的平台上,这项过程详情请点击这里

然而,研究人员惊讶地发现 EO mini pro 2 再次使用了树莓派。研究人员有一个早期的 EO mini pro,它并没有使用树莓派,这看起来似乎是一种倒退。

9.webp.jpg

左边的充电桩是研究人员之前的EO mini pro,可以清楚地看到Zentri MCU,与树莓派相比,它提供了更好的硬件安全性。然而,在右边是最近的EO mini pro 2的内部图像,取自EO安装指南。它显然退化了,并使用了 Pi。考虑到 EO 之前为重新平台所做的努力,研究人员不确定为什么 EO 会这样做。

在此过程中,研究人员也注意到研究人员的EO mini pro上有一个易受攻击的服务。TCP端口2000没有身份验证,并且可以对其进行读写配置,这可能会阻止它进行通信并暴露敏感数据,例如 PSK。例如,研究人员在这里更改了 DNS:

10.webp.jpg

然而,这种影响在一定程度上有所缓解,因为用户首先需要破解用户的Wi-Fi密钥。

Rolec

在这几个品牌中Rolec是最安全的,特别是它使用SIM卡和移动数据传输数据。这使得流量拦截比使用 Wi-Fi 连接更难,尽管不是不可能。

Hypervolt

Hypervolt还使用了树莓派,因此硬件安全性最低。

11.webp.jpg

智能公共充电桩

由于需要使用不同的运营商和应用程序,公共充电可能会有点痛苦。通过开放充电桩接口 (OCPI) 正在出现充电网络之间的一些互操作。这意味着在一个收费提供商系统上拥有账户的用户可以使用其他提供商系统并交叉计费,有点像智能手机的国际漫游。

研究人员在Chargepoint公司发现了一个暴露的GraphQL终端,Chargepoint是一家大型的美国充电基础设施提供商,与美国、欧洲和其他地区的大约15万个充电桩签订了“漫游”协议。终端允许内省(Introspection),允许查看其 API 的详细信息。内省,有时也叫类型内省,是在运行时进行的一种对象检测机制,我们可以通过内省来获取一个对象的所有信息。

12.webp.jpg

研究人员没有比这更进一步,因为存在终端将其所有敏感内容转储给研究人员以响应进一步查询的直接风险。

但是,研究人员认为可以将一个用户帐户附加到另一个用户帐户从而免费获得敏感信息。

信息披露

Chargepoint 反应特别快,很快就承认了这个问题,大约在24小时内就修好了。

事后看来,由于Chargepoint公司有一个良好的漏洞披露计划,并愿意与研究人员合作,研究人员可能已经进行了进一步的调查。

公共充电桩存在的普遍问题

OCPI 增强的互操作性产生了一些令人生畏的安全问题:这意味着一个平台中的漏洞可能会在另一个平台上造成漏洞。充电公司拥有 OCPI 连接的任何一个平台都可能暴露他们自己的充电桩和安全性。

造成的后果包括:

◼通过泄露帐户窃电,向合法用户收取费用;

◼阻止合法用户充电,通过发送消息停止充电;

◼通过同步停止、启动和停止多个充电桩的充电导致电网稳定性问题;

◼快速车载充电桩消耗大量电量,格雷特纳格林(英国的一个小镇)的一个发电站就有四个这样的发电站,如果同时使用,消耗1.4兆瓦,这差不多相当于1000个家庭的使用量。

◼由于可再生能源已取代煤炭,研究人员的电网对电力消耗的大幅波动的适应力较弱。

◼通过一次次打开、关闭、打开、关闭大量强大的充电桩,可以破坏电网的稳定。

总结

智能电动汽车充电桩领域显然缺乏安全保障,随着家庭充电桩配备趋势的增加以及公共充电设施的普及,网络安全问题也越来越突出。

本文翻译自:https://www.pentestpartners.com/security-blog/smart-car-chargers-plug-n-play-for-hackers/如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/j5oz
如有侵权请联系:admin#unsafe.sh