研究人员曝光多款充电桩与充电网络存在安全隐患

09 08月 2021

2021-08-09 13:25

英国网络安全公司Pen Test Partners，刚刚曝光了在六个家用电动汽车充电品牌、以及一个大型公共EV充电网络API中的几个安全漏洞。随着IoT即将在人们的家庭与车辆中无处不在，本次调查给出了物联网设备监管不力的最新实例，且涉及Project EV、Wallbox、EVBox、EO Charging的EO Hub / EO mini pro 2、Rolec、以及Hypervolt这个六个不同的EV充电品牌。

安全研究人员Vangelis Stykas指出，这些漏洞或允许黑客劫持用户账户、阻碍充电、甚至将其中一款充电器编程入侵用户家庭网络的“后门”。

若公共充电网络遭到黑客攻击，还可能导致电费窃取、以及通过开启/关闭充电器而造成电网波动。

在过去的18个月里，Pen Test Partners网络安全团队一直在调查智能电动汽车充电桩的安全性。充电桩的这些功能允许车主远程监控和管理汽车充电桩的充电状态、速度和时间等。研究人员购买了6个不同品牌的充电桩，并评估了一些公共充电网络的安全性。

图片移动应用程序都通过API和基于云的平台与充电桩通信，充电桩通常连接到用户的家庭Wi-Fi网络。

以下是研究人员的7个发现：

研究人员发现了可以劫持数百万智能电动汽车充电账户的漏洞；

一些电动汽车充电桩平台存在API授权问题，允许账户被接管和远程控制所有充电桩；

根本不需要平台授权，攻击者就能得到一个简短的、可预测的设备ID，接着就可以远程完全控制充电桩；

充电桩没有固件签名，允许远程推送新的固件，这样，充电桩就可作为家庭网络的支点；

公共充电平台暴露了一个未经身份验证的GraphQL终端，研究人员认为它会暴露所有用户和充电桩数据；

一些电动汽车充电桩是建立在树莓派计算模块上的，该模块可以轻松提取所有存储数据，包括凭证和Wi-Fi PSK；

允许同步打开和关闭所有充电桩，由于备用容量难以维持电网平稳，电力需求波动较大，因此有可能导致电网出现稳定性问题。

智能家用充电桩

研究人员查看的6个不同的流行品牌中，有几个在其API中存在帐户劫持漏洞，所有这些都获得了英国政府资助资金的认可，其中包括在欧洲和美国广受欢迎的品牌。

研究人员研究了以下品牌：

Project EV / ATESS / Shenzen Growatt

Wallbox

EVBox

EO Hub and EO mini pro 2

Rolec

Hypervolt

Project EV / ATESS / Shenzen Growatt

Project EV电动汽车充电桩由ATESS公司生产，采用深圳格沃特提供的API和平台。

这是目前最不安全的充电桩，研究人员可以劫持用户帐户并阻止用户交费。

研究人员还可以远程向充电桩推送更新的软件，这使研究人员能够将充电桩用作用户家庭网络的远程“后门”，通过这个后门，攻击者可能会进一步危害用户家中的其它设备。

Project EV API在第一次登录请求上检查了正确的凭据，这是一个POST：/ocpp/user

然而，实际上并不需要登录，因为它只是假设之后传递给它的所有参数都是正确的！

这可能允许攻击者访问和控制任何充电桩，只要他们知道充电桩的用户名或序列号。

序列号具有可预测的格式，可以很容易地强制使用，以便你可以枚举所有充电桩的存在。

示例请求：

锁定充电桩，停止充电：

解锁充电桩：

Project EV没有回应研究人员最初的公开尝试，但在与BBC联系后，实施了强认证和授权，并为充电桩进行了固件更新。深圳Growatt也是迄今为止最大的平台，它上面有大约290万台设备，所有这些都可以通过弱鸡的身份验证和请求授权来远程利用。

Wallbox

Wallbox在其API中有两个独立的不安全直接对象引用，这允许帐户被劫持。

研发者还为他们的充电桩使用了树莓派计算模块。虽然树莓派适合研究，但研究人员认为它不适合商业用途的公共设备，因为很难完全保护它、或者防止恢复存储的数据。

研究人员向Wallbox披露了这些信息，Wallbox在几天内修复了API问题。他们还向研究人员展示了他们计划中的新硬件平台，并希望签署保密协议，但研究人员拒绝了。

EVBox

自从2018年EVBox宣布收购法国快速和超快充电桩制造商EVTronic后，EVBox将其全球基地扩展到60000个充电点，其中包括700个快速充电(DC)桩。

自2007年以来，EVTronic为电动汽车设计，开发，制造和销售一系列快速充电桩。与此同时，该公司积极参与研发，专注于V2G（车对电网）技术。

EVBox是所有充电桩制造商中反应最快的。允许帐户劫持的API漏洞在大约24小时内得到确认并修复，这是一个非常令人印象深刻的响应。

在EVBox API上，可以更改用户角色。这可以通过观察请求配置文件时的响应并查看你的配置文件请求的更新来实现，之后尝试并验证缺失值是否有效：

图片

使用任何接受的角色名称（在添加随机值时从错误消息中获得）添加角色数组将使特权升级成为可能。添加租户管理员角色时，用户对租户和由其控制的所有充电桩具有完全管理权限。

在平台上授予管理员权限：

EO Hub和EO mini pro 2

EO率先在英国推出智能充电桩，使用EO Hub进行控制，但在安全性方面存在“先发劣势”。充电桩的“智能”也建立在树莓派上的，这是很难保障安全的，因为树莓派天生存在引导加载程序的安全问题。EO对研究人员的披露迅速做出了回应，并将他们的整个系统重新构建到一个新的、更安全的平台上。

然而，研究人员惊讶地发现EO mini pro 2仍然使用了树莓派。研究人员有一个早期的EO mini pro，它并没有使用树莓派，这看起来似乎是一种倒退。

左面的充电桩是研究人员之前的EO mini pro，可以清楚地看到Zentri MCU，与树莓派相比，它提供了更好的硬件安全性。然而，在右边是最近的EO mini pro 2的内部图像，它显然退化了，并使用了Pi。考虑到EO之前为重新平台所做的努力，研究人员不确定为什么EO会这样做。

在此过程中，研究人员也注意到研究人员的EO mini pro上有一个易受攻击的服务。TCP端口2000不需要身份验证，并且可以对其进行读写配置，这可能会阻止它进行通信并暴露敏感数据，例如PSK。

例如，研究人员在这里可以更改DNS：

然而，这种影响在一定程度上有所缓解，因为用户首先需要破解用户的Wi-Fi密钥。

Rolec

在这几个品牌中Rolec是最安全的，特别是它使用SIM卡和移动数据传输数据。这使得流量拦截比使用Wi-Fi连接更难，尽管不是不可能。

Hypervolt

Hypervolt还使用了树莓派，因此硬件安全性最低。

智能公共充电桩

由于需要使用不同的运营商和应用程序，公共充电可能会有点痛苦。通过开放充电桩接口(OCPI)正在出现充电网络之间的一些互操作。这意味着在一个收费提供商系统上拥有账户的用户可以使用其他提供商系统并交叉计费，有点像智能手机的国际漫游。

研究人员在Chargepoint公司发现了一个暴露的GraphQL终端，Chargepoint是一家大型的美国充电基础设施提供商，与美国、欧洲和其他地区的大约15万个充电桩签订了“漫游”协议。终端允许内省(Introspection) ，允许查看其API的详细信息。内省，有时也叫类型内省，是在运行时进行的一种对象检测机制，我们可以通过内省来获取一个对象的所有信息。

研究人员没有更进一步深入探究，因为存在一定的直接风险，如在进一步查询的情况下有可能会将其敏感内容进行转储。

但是，研究人员认为可以将某个帐户附加到另一个主用户帐户，从而免费获得更多隐私信息。

信息披露

Chargepoint反应特别快，很快就承认了这个问题，大约在24小时内就修好了。

事后看来，由于Chargepoint公司有一个良好的漏洞披露计划，并愿意与研究人员合作，使得可以进行深入调查。

公共充电桩存在的普遍问题

OCPI增强的互操作性产生了一些令人生畏的安全问题：这意味着一个平台中的漏洞可能会在另一个平台上造成危害。充电公司拥有OCPI连接的任何一个平台都可能暴露他们自己的充电桩和安全性。

造成的后果包括：

通过泄露帐户窃电，向合法用户收取费用；

阻止合法用户充电，通过发送消息停止充电；

通过同步、启动和停止多个充电桩的充电导致电网稳定性问题。

快速充电桩消耗大量电量，格雷特纳格林(英国的一个小镇)的一个发电站就有四个这样的充电桩，如果同时使用，消耗1400千瓦，这差不多相当于1000个家庭的使用量。