微信客服
微信公眾號
英國網絡安全公司 Pen Test Partners,剛剛曝光了在六個家用電動汽車充電品牌、以及一個大型公共 EV 充電網絡 API 中的幾個安全漏洞。隨著 IoT 即將在人們的家庭與車輛中無處不在,本次調查給出了物聯網設備監管不力的最新實例,且涉及 Project EV、Wallbox、EVBox、EO Charging 的 EO Hub / EO mini pro 2、Rolec、以及 Hypervolt 這個六個不同的 EV 充電品牌。
安全研究人員 Vangelis Stykas 指出,這些漏洞或允許黑客劫持用戶賬戶、阻礙充電、甚至將其中一款充電器編程入侵用戶家庭網絡的“后門”。
若公共充電網絡遭到黑客攻擊,還可能導致電費竊取、以及通過開啟 / 關閉充電器而造成電網波動。
在過去的18個月里,Pen Test Partners網絡安全團隊一直在調查智能電動汽車充電樁的安全性。充電樁的這些功能允許車主遠程監控和管理汽車充電樁的充電狀態、速度和時間等。研究人員購買了6個不同品牌的充電樁,并評估了一些公共充電網絡的安全性。
圖片移動應用程序都通過 API 和基于云的平臺與充電樁通信,充電樁通常連接到用戶的家庭 Wi-Fi 網絡。
以下是研究人員的7個發現:
研究人員發現了可以劫持數百萬智能電動汽車充電賬戶的漏洞;
一些電動汽車充電樁平臺存在API授權問題,允許賬戶被接管和遠程控制所有充電樁;
根本不需要平臺授權,攻擊者就能得到一個簡短的、可預測的設備ID,接著就可以遠程完全控制充電樁;
充電樁沒有固件簽名,允許遠程推送新的固件,這樣,充電樁就可作為家庭網絡的支點;
公共充電平臺暴露了一個未經身份驗證的GraphQL終端,研究人員認為它會暴露所有用戶和充電樁數據;
一些電動汽車充電樁是建立在樹莓派計算模塊上的,該模塊可以輕松提取所有存儲數據,包括憑證和Wi-Fi PSK;
允許同步打開和關閉所有充電樁,由于備用容量難以維持電網平穩,電力需求波動較大,因此有可能導致電網出現穩定性問題。
智能家用充電樁
研究人員查看的 6 個不同的流行品牌中,有幾個在其 API 中存在帳戶劫持漏洞,所有這些都獲得了英國政府資助資金的認可,其中包括在歐洲和美國廣受歡迎的品牌。
研究人員研究了以下品牌:
Project EV / ATESS / Shenzen Growatt
Wallbox
EVBox
EO Hub and EO mini pro 2
Rolec
Hypervolt
Project EV / ATESS / Shenzen Growatt
Project EV電動汽車充電樁由 ATESS 公司生產,采用深圳格沃特提供的 API 和平臺。
這是目前最不安全的充電樁,研究人員可以劫持用戶帳戶并阻止用戶交費。
研究人員還可以遠程向充電樁推送更新的軟件,這使研究人員能夠將充電樁用作用戶家庭網絡的遠程“后門”,通過這個后門,攻擊者可能會進一步危害用戶家中的其它設備。
Project EV API在第一次登錄請求上檢查了正確的憑據,這是一個POST:/ocpp/user
然而,實際上并不需要登錄,因為它只是假設之后傳遞給它的所有參數都是正確的!
這可能允許攻擊者訪問和控制任何充電樁,只要他們知道充電樁的用戶名或序列號。
序列號具有可預測的格式,可以很容易地強制使用,以便你可以枚舉所有充電樁的存在。
示例請求:
鎖定充電樁,停止充電:
解鎖充電樁:
Project EV 沒有回應研究人員最初的公開嘗試,但在與 BBC 聯系后,實施了強認證和授權,并為充電樁進行了固件更新。深圳 Growatt 也是迄今為止最大的平臺,它上面有大約 290 萬臺設備,所有這些都可以通過弱雞的身份驗證和請求授權來遠程利用。
Wallbox
Wallbox 在其 API 中有兩個獨立的不安全直接對象引用,這允許帳戶被劫持。
研發者還為他們的充電樁使用了樹莓派計算模塊。雖然樹莓派適合研究,但研究人員認為它不適合商業用途的公共設備,因為很難完全保護它、或者防止恢復存儲的數據。
研究人員向 Wallbox 披露了這些信息,Wallbox 在幾天內修復了 API 問題。他們還向研究人員展示了他們計劃中的新硬件平臺,并希望簽署保密協議,但研究人員拒絕了。
EVBox
自從 2018 年 EVBox 宣布收購法國快速和超快充電樁制造商 EVTronic 后,EVBox 將其全球基地擴展到 60000 個充電點,其中包括 700 個快速充電(DC)樁。
自 2007 年以來,EVTronic 為電動汽車設計,開發,制造和銷售一系列快速充電樁。與此同時,該公司積極參與研發,專注于 V2G(車對電網)技術。
EVBox 是所有充電樁制造商中反應最快的。允許帳戶劫持的 API 漏洞在大約 24 小時內得到確認并修復,這是一個非常令人印象深刻的響應。
在 EVBox API 上,可以更改用戶角色。這可以通過觀察請求配置文件時的響應并查看你的配置文件請求的更新來實現,之后嘗試并驗證缺失值是否有效:
圖片
使用任何接受的角色名稱(在添加隨機值時從錯誤消息中獲得)添加角色數組將使特權升級成為可能。添加租戶管理員角色時,用戶對租戶和由其控制的所有充電樁具有完全管理權限。
在平臺上授予管理員權限:
EO Hub 和 EO mini pro 2
EO 率先在英國推出智能充電樁,使用 EO Hub 進行控制,但在安全性方面存在“先發劣勢”。充電樁的“智能”也建立在樹莓派上的,這是很難保障安全的,因為樹莓派天生存在引導加載程序的安全問題。EO 對研究人員的披露迅速做出了回應,并將他們的整個系統重新構建到一個新的、更安全的平臺上。
然而,研究人員驚訝地發現 EO mini pro 2 仍然使用了樹莓派。研究人員有一個早期的 EO mini pro,它并沒有使用樹莓派,這看起來似乎是一種倒退。
左面的充電樁是研究人員之前的 EO mini pro,可以清楚地看到 Zentri MCU,與樹莓派相比,它提供了更好的硬件安全性。然而,在右邊是最近的 EO mini pro 2 的內部圖像,它顯然退化了,并使用了 Pi。考慮到 EO 之前為重新平臺所做的努力,研究人員不確定為什么 EO 會這樣做。
在此過程中,研究人員也注意到研究人員的 EO mini pro 上有一個易受攻擊的服務。TCP 端口 2000 不需要身份驗證,并且可以對其進行讀寫配置,這可能會阻止它進行通信并暴露敏感數據,例如 PSK。
例如,研究人員在這里可以更改DNS:
然而,這種影響在一定程度上有所緩解,因為用戶首先需要破解用戶的 Wi-Fi 密鑰。
Rolec
在這幾個品牌中 Rolec 是最安全的,特別是它使用 SIM 卡和移動數據傳輸數據。這使得流量攔截比使用 Wi-Fi 連接更難,盡管不是不可能。
Hypervolt
Hypervolt 還使用了樹莓派,因此硬件安全性最低。
智能公共充電樁
由于需要使用不同的運營商和應用程序,公共充電可能會有點痛苦。通過開放充電樁接口 (OCPI) 正在出現充電網絡之間的一些互操作。這意味著在一個收費提供商系統上擁有賬戶的用戶可以使用其他提供商系統并交叉計費,有點像智能手機的國際漫游。
研究人員在 Chargepoint 公司發現了一個暴露的 GraphQL 終端,Chargepoint 是一家大型的美國充電基礎設施提供商,與美國、歐洲和其他地區的大約15萬個充電樁簽訂了“漫游”協議。終端允許內省 (Introspection) ,允許查看其 API 的詳細信息。內省,有時也叫類型內省,是在運行時進行的一種對象檢測機制,我們可以通過內省來獲取一個對象的所有信息。
研究人員沒有更進一步深入探究,因為存在一定的直接風險,如在進一步查詢的情況下有可能會將其敏感內容進行轉儲。
但是,研究人員認為可以將某個帳戶附加到另一個主用戶帳戶,從而免費獲得更多隱私信息。
信息披露
Chargepoint 反應特別快,很快就承認了這個問題,大約在 24 小時內就修好了。
事后看來,由于 Chargepoint 公司有一個良好的漏洞披露計劃,并愿意與研究人員合作,使得可以進行深入調查。
公共充電樁存在的普遍問題
OCPI 增強的互操作性產生了一些令人生畏的安全問題:這意味著一個平臺中的漏洞可能會在另一個平臺上造成危害。充電公司擁有 OCPI 連接的任何一個平臺都可能暴露他們自己的充電樁和安全性。
造成的后果包括:
通過泄露帳戶竊電,向合法用戶收取費用;
阻止合法用戶充電,通過發送消息停止充電;
通過同步、啟動和停止多個充電樁的充電導致電網穩定性問題。
快速充電樁消耗大量電量,格雷特納格林(英國的一個小鎮)的一個發電站就有四個這樣的充電樁,如果同時使用,消耗1400千瓦,這差不多相當于1000個家庭的使用量。
由于可再生能源越來越占主流,研究人員認為電網對電力消耗大幅波動的適應力較弱。
通過一次次打開、關閉、打開、關閉大量的大功率充電樁,可以破壞電網的穩定。
注:上述所有 API 和硬件漏洞都被成功地披露給了相關供應商,所有的 API 漏洞都得到了糾正。
截止發稿,樹莓派的硬件問題仍然存在,但考慮到需要物理訪問充電樁,攻擊的風險似乎很低。作為預防措施,可以斷開家用 wi-fi 充電樁和更換 PSK。另一種選擇可能是將充電樁的面板粘在后面,盡管這看起來有點極端。
總結
顯然,智能充電樁領域的安全保障亟待重視,隨著家庭充電樁配備趨勢的增加以及公共充電設施的普及,網絡安全問題也越來越突出。
希望這項研究能幫助充電樁制造商和監管者更加重視安全性。
資料來源及致謝
Pen Test Partners
cnBeta.COM
安全研究人員 Vangelis Stykas 指出,這些漏洞或允許黑客劫持用戶賬戶、阻礙充電、甚至將其中一款充電器編程入侵用戶家庭網絡的“后門”。
若公共充電網絡遭到黑客攻擊,還可能導致電費竊取、以及通過開啟 / 關閉充電器而造成電網波動。
在過去的18個月里,Pen Test Partners網絡安全團隊一直在調查智能電動汽車充電樁的安全性。充電樁的這些功能允許車主遠程監控和管理汽車充電樁的充電狀態、速度和時間等。研究人員購買了6個不同品牌的充電樁,并評估了一些公共充電網絡的安全性。
圖片移動應用程序都通過 API 和基于云的平臺與充電樁通信,充電樁通常連接到用戶的家庭 Wi-Fi 網絡。
以下是研究人員的7個發現:
研究人員發現了可以劫持數百萬智能電動汽車充電賬戶的漏洞;
一些電動汽車充電樁平臺存在API授權問題,允許賬戶被接管和遠程控制所有充電樁;
根本不需要平臺授權,攻擊者就能得到一個簡短的、可預測的設備ID,接著就可以遠程完全控制充電樁;
充電樁沒有固件簽名,允許遠程推送新的固件,這樣,充電樁就可作為家庭網絡的支點;
公共充電平臺暴露了一個未經身份驗證的GraphQL終端,研究人員認為它會暴露所有用戶和充電樁數據;
一些電動汽車充電樁是建立在樹莓派計算模塊上的,該模塊可以輕松提取所有存儲數據,包括憑證和Wi-Fi PSK;
允許同步打開和關閉所有充電樁,由于備用容量難以維持電網平穩,電力需求波動較大,因此有可能導致電網出現穩定性問題。
智能家用充電樁
研究人員查看的 6 個不同的流行品牌中,有幾個在其 API 中存在帳戶劫持漏洞,所有這些都獲得了英國政府資助資金的認可,其中包括在歐洲和美國廣受歡迎的品牌。
研究人員研究了以下品牌:
Project EV / ATESS / Shenzen Growatt
Wallbox
EVBox
EO Hub and EO mini pro 2
Rolec
Hypervolt
Project EV / ATESS / Shenzen Growatt
Project EV電動汽車充電樁由 ATESS 公司生產,采用深圳格沃特提供的 API 和平臺。
這是目前最不安全的充電樁,研究人員可以劫持用戶帳戶并阻止用戶交費。
研究人員還可以遠程向充電樁推送更新的軟件,這使研究人員能夠將充電樁用作用戶家庭網絡的遠程“后門”,通過這個后門,攻擊者可能會進一步危害用戶家中的其它設備。
Project EV API在第一次登錄請求上檢查了正確的憑據,這是一個POST:/ocpp/user
然而,實際上并不需要登錄,因為它只是假設之后傳遞給它的所有參數都是正確的!
這可能允許攻擊者訪問和控制任何充電樁,只要他們知道充電樁的用戶名或序列號。
序列號具有可預測的格式,可以很容易地強制使用,以便你可以枚舉所有充電樁的存在。
示例請求:
鎖定充電樁,停止充電:
解鎖充電樁:
Project EV 沒有回應研究人員最初的公開嘗試,但在與 BBC 聯系后,實施了強認證和授權,并為充電樁進行了固件更新。深圳 Growatt 也是迄今為止最大的平臺,它上面有大約 290 萬臺設備,所有這些都可以通過弱雞的身份驗證和請求授權來遠程利用。
Wallbox
Wallbox 在其 API 中有兩個獨立的不安全直接對象引用,這允許帳戶被劫持。
研發者還為他們的充電樁使用了樹莓派計算模塊。雖然樹莓派適合研究,但研究人員認為它不適合商業用途的公共設備,因為很難完全保護它、或者防止恢復存儲的數據。
研究人員向 Wallbox 披露了這些信息,Wallbox 在幾天內修復了 API 問題。他們還向研究人員展示了他們計劃中的新硬件平臺,并希望簽署保密協議,但研究人員拒絕了。
EVBox
自從 2018 年 EVBox 宣布收購法國快速和超快充電樁制造商 EVTronic 后,EVBox 將其全球基地擴展到 60000 個充電點,其中包括 700 個快速充電(DC)樁。
自 2007 年以來,EVTronic 為電動汽車設計,開發,制造和銷售一系列快速充電樁。與此同時,該公司積極參與研發,專注于 V2G(車對電網)技術。
EVBox 是所有充電樁制造商中反應最快的。允許帳戶劫持的 API 漏洞在大約 24 小時內得到確認并修復,這是一個非常令人印象深刻的響應。
在 EVBox API 上,可以更改用戶角色。這可以通過觀察請求配置文件時的響應并查看你的配置文件請求的更新來實現,之后嘗試并驗證缺失值是否有效:
圖片
使用任何接受的角色名稱(在添加隨機值時從錯誤消息中獲得)添加角色數組將使特權升級成為可能。添加租戶管理員角色時,用戶對租戶和由其控制的所有充電樁具有完全管理權限。
在平臺上授予管理員權限:
EO Hub 和 EO mini pro 2
EO 率先在英國推出智能充電樁,使用 EO Hub 進行控制,但在安全性方面存在“先發劣勢”。充電樁的“智能”也建立在樹莓派上的,這是很難保障安全的,因為樹莓派天生存在引導加載程序的安全問題。EO 對研究人員的披露迅速做出了回應,并將他們的整個系統重新構建到一個新的、更安全的平臺上。
然而,研究人員驚訝地發現 EO mini pro 2 仍然使用了樹莓派。研究人員有一個早期的 EO mini pro,它并沒有使用樹莓派,這看起來似乎是一種倒退。
左面的充電樁是研究人員之前的 EO mini pro,可以清楚地看到 Zentri MCU,與樹莓派相比,它提供了更好的硬件安全性。然而,在右邊是最近的 EO mini pro 2 的內部圖像,它顯然退化了,并使用了 Pi。考慮到 EO 之前為重新平臺所做的努力,研究人員不確定為什么 EO 會這樣做。
在此過程中,研究人員也注意到研究人員的 EO mini pro 上有一個易受攻擊的服務。TCP 端口 2000 不需要身份驗證,并且可以對其進行讀寫配置,這可能會阻止它進行通信并暴露敏感數據,例如 PSK。
例如,研究人員在這里可以更改DNS:
然而,這種影響在一定程度上有所緩解,因為用戶首先需要破解用戶的 Wi-Fi 密鑰。
Rolec
在這幾個品牌中 Rolec 是最安全的,特別是它使用 SIM 卡和移動數據傳輸數據。這使得流量攔截比使用 Wi-Fi 連接更難,盡管不是不可能。
Hypervolt
Hypervolt 還使用了樹莓派,因此硬件安全性最低。
智能公共充電樁
由于需要使用不同的運營商和應用程序,公共充電可能會有點痛苦。通過開放充電樁接口 (OCPI) 正在出現充電網絡之間的一些互操作。這意味著在一個收費提供商系統上擁有賬戶的用戶可以使用其他提供商系統并交叉計費,有點像智能手機的國際漫游。
研究人員在 Chargepoint 公司發現了一個暴露的 GraphQL 終端,Chargepoint 是一家大型的美國充電基礎設施提供商,與美國、歐洲和其他地區的大約15萬個充電樁簽訂了“漫游”協議。終端允許內省 (Introspection) ,允許查看其 API 的詳細信息。內省,有時也叫類型內省,是在運行時進行的一種對象檢測機制,我們可以通過內省來獲取一個對象的所有信息。
研究人員沒有更進一步深入探究,因為存在一定的直接風險,如在進一步查詢的情況下有可能會將其敏感內容進行轉儲。
但是,研究人員認為可以將某個帳戶附加到另一個主用戶帳戶,從而免費獲得更多隱私信息。
信息披露
Chargepoint 反應特別快,很快就承認了這個問題,大約在 24 小時內就修好了。
事后看來,由于 Chargepoint 公司有一個良好的漏洞披露計劃,并愿意與研究人員合作,使得可以進行深入調查。
公共充電樁存在的普遍問題
OCPI 增強的互操作性產生了一些令人生畏的安全問題:這意味著一個平臺中的漏洞可能會在另一個平臺上造成危害。充電公司擁有 OCPI 連接的任何一個平臺都可能暴露他們自己的充電樁和安全性。
造成的后果包括:
通過泄露帳戶竊電,向合法用戶收取費用;
阻止合法用戶充電,通過發送消息停止充電;
通過同步、啟動和停止多個充電樁的充電導致電網穩定性問題。
快速充電樁消耗大量電量,格雷特納格林(英國的一個小鎮)的一個發電站就有四個這樣的充電樁,如果同時使用,消耗1400千瓦,這差不多相當于1000個家庭的使用量。
由于可再生能源越來越占主流,研究人員認為電網對電力消耗大幅波動的適應力較弱。
通過一次次打開、關閉、打開、關閉大量的大功率充電樁,可以破壞電網的穩定。
注:上述所有 API 和硬件漏洞都被成功地披露給了相關供應商,所有的 API 漏洞都得到了糾正。
截止發稿,樹莓派的硬件問題仍然存在,但考慮到需要物理訪問充電樁,攻擊的風險似乎很低。作為預防措施,可以斷開家用 wi-fi 充電樁和更換 PSK。另一種選擇可能是將充電樁的面板粘在后面,盡管這看起來有點極端。
總結
顯然,智能充電樁領域的安全保障亟待重視,隨著家庭充電樁配備趨勢的增加以及公共充電設施的普及,網絡安全問題也越來越突出。
希望這項研究能幫助充電樁制造商和監管者更加重視安全性。
資料來源及致謝
Pen Test Partners
cnBeta.COM
0 條