研究人員揭示EV充電站管理系統的脆弱性并提出保護建議

UTSA網(wǎng)絡(luò )安全和分析中心主任Elias Bou-Harb及其同事--迪拜大學(xué)的Claud Fachkha和蒙特利爾康科迪亞大學(xué)的Tony Nasr、Sadegh Torabi和Chadi Assi--正在揭示這些網(wǎng)絡(luò )系統的脆弱性。

另外，他們還建議采取一些措施以保護這些網(wǎng)絡(luò )免受傷害。

EV內置的系統通過(guò)互聯(lián)網(wǎng)履行關(guān)鍵職責，包括遠程監控和客戶(hù)計費，并且越來(lái)越多的聯(lián)網(wǎng)EV充電站也是如此。

Bou-Harb和他的研究人員希望探索針對EV充電系統的網(wǎng)絡(luò )攻擊的現實(shí)影響及如何利用網(wǎng)絡(luò )安全對策來(lái)減輕它們。他的團隊還評估了被利用的系統如何攻擊關(guān)鍵基礎設施，如電網(wǎng)。

“電動(dòng)汽車(chē)是當今的常態(tài)。然而，它們的管理站很容易受到安全漏洞的影響，”Bou-Harb指出，“在這項工作中，我們努力發(fā)現它們的相關(guān)安全弱點(diǎn)并了解它們對EV和智能電網(wǎng)的影響，同時(shí)提供建議并跟相關(guān)行業(yè)分享我們的發(fā)現以便主動(dòng)進(jìn)行安全補救。”

據悉 ，該研究團隊確定了16個(gè)EV充電管理系統，他們將這些系統分為獨立的類(lèi)別，如固件、移動(dòng)和網(wǎng)絡(luò )應用。他們對每個(gè)系統進(jìn)行了深入的安全分析。

Bou-Harb表示，他們設計了一個(gè)系統查找和收集方法以此來(lái)確定大量的EV充電系統，然后利用逆向工程和白/黑盒網(wǎng)絡(luò )應用滲透測試技術(shù)展開(kāi)徹底的漏洞分析。

據了解，該團隊在這16個(gè)系統中發(fā)現了一系列漏洞，并且還特別強調了13個(gè)最嚴重的漏洞，如缺少認證和跨網(wǎng)站腳本。通過(guò)利用這些漏洞，攻擊者可以造成一些問(wèn)題--包括操縱固件或偽裝成實(shí)際用戶(hù)并訪(fǎng)問(wèn)用戶(hù)數據。

根據研究人員最近的一份白皮書(shū)研究顯示，雖然有可能對EV生態(tài)系統內的各種實(shí)體進(jìn)行不同的攻擊，但在這項工作中，研究人員重點(diǎn)調查了對被攻擊的充電站、其用戶(hù)和連接的電網(wǎng)有嚴重影響的大規模攻擊。

在這個(gè)項目中，該團隊為開(kāi)發(fā)者制定了若干安全措施、準則和最佳實(shí)踐以減輕網(wǎng)絡(luò )攻擊。林外，他們還創(chuàng )建了對策來(lái)修補他們發(fā)現的每個(gè)單獨的漏洞。

為了防止對電網(wǎng)的大規模攻擊，研究人員建議開(kāi)發(fā)商修補現有的漏洞，但也要在充電站的制造過(guò)程中納入初步的安全措施。

“許多行業(yè)成員已經(jīng)承認了我們發(fā)現的漏洞，”Bou-Harb說(shuō)道，“這些信息將有助于對這些充電站進(jìn)行免疫以保護公眾，另外還能為EV和智能電網(wǎng)背景下的未來(lái)安全解決方案提供建議。”

研究人員計劃繼續分析更多的充電站以進(jìn)一步了解其安全態(tài)勢。他們還在跟幾個(gè)行業(yè)伙伴合作來(lái)幫助從設計階段形成新的安全產(chǎn)品并制定安全彈性措施進(jìn)而保護脆弱的充電站不被利用。