研究人員揭示EV充電站管理系統(tǒng)的脆弱性并提出保護(hù)建議

隨著道路上電動汽車數(shù)量的增加，對電動汽車(EV)充電站和這些充電站內(nèi)基于互聯(lián)網(wǎng)的管理系統(tǒng)的需求也在增加。然而這些管理系統(tǒng)面臨著自己的問題：網(wǎng)絡(luò)安全攻擊。
UTSA網(wǎng)絡(luò)安全和分析中心主任Elias Bou-Harb及其同事--迪拜大學(xué)的Claud Fachkha和蒙特利爾康科迪亞大學(xué)的Tony Nasr、Sadegh Torabi和Chadi Assi--正在揭示這些網(wǎng)絡(luò)系統(tǒng)的脆弱性。
另外，他們還建議采取一些措施以保護(hù)這些網(wǎng)絡(luò)免受傷害。
EV內(nèi)置的系統(tǒng)通過互聯(lián)網(wǎng)履行關(guān)鍵職責(zé)，包括遠(yuǎn)程監(jiān)控和客戶計費，并且越來越多的聯(lián)網(wǎng)EV充電站也是如此。
Bou-Harb和他的研究人員希望探索針對EV充電系統(tǒng)的網(wǎng)絡(luò)攻擊的現(xiàn)實影響及如何利用網(wǎng)絡(luò)安全對策來減輕它們。他的團(tuán)隊還評估了被利用的系統(tǒng)如何攻擊關(guān)鍵基礎(chǔ)設(shè)施，如電網(wǎng)。
“電動汽車是當(dāng)今的常態(tài)。然而，它們的管理站很容易受到安全漏洞的影響，”Bou-Harb指出，“在這項工作中，我們努力發(fā)現(xiàn)它們的相關(guān)安全弱點并了解它們對EV和智能電網(wǎng)的影響，同時提供建議并跟相關(guān)行業(yè)分享我們的發(fā)現(xiàn)以便主動進(jìn)行安全補(bǔ)救。”
據(jù)悉 ，該研究團(tuán)隊確定了16個EV充電管理系統(tǒng)，他們將這些系統(tǒng)分為獨立的類別，如固件、移動和網(wǎng)絡(luò)應(yīng)用。他們對每個系統(tǒng)進(jìn)行了深入的安全分析。
Bou-Harb表示，他們設(shè)計了一個系統(tǒng)查找和收集方法以此來確定大量的EV充電系統(tǒng)，然后利用逆向工程和白/黑盒網(wǎng)絡(luò)應(yīng)用滲透測試技術(shù)展開徹底的漏洞分析。
據(jù)了解，該團(tuán)隊在這16個系統(tǒng)中發(fā)現(xiàn)了一系列漏洞，并且還特別強(qiáng)調(diào)了13個最嚴(yán)重的漏洞，如缺少認(rèn)證和跨網(wǎng)站腳本。通過利用這些漏洞，攻擊者可以造成一些問題--包括操縱固件或偽裝成實際用戶并訪問用戶數(shù)據(jù)。
根據(jù)研究人員最近的一份白皮書研究顯示，雖然有可能對EV生態(tài)系統(tǒng)內(nèi)的各種實體進(jìn)行不同的攻擊，但在這項工作中，研究人員重點調(diào)查了對被攻擊的充電站、其用戶和連接的電網(wǎng)有嚴(yán)重影響的大規(guī)模攻擊。
在這個項目中，該團(tuán)隊為開發(fā)者制定了若干安全措施、準(zhǔn)則和最佳實踐以減輕網(wǎng)絡(luò)攻擊。林外，他們還創(chuàng)建了對策來修補(bǔ)他們發(fā)現(xiàn)的每個單獨的漏洞。
為了防止對電網(wǎng)的大規(guī)模攻擊，研究人員建議開發(fā)商修補(bǔ)現(xiàn)有的漏洞，但也要在充電站的制造過程中納入初步的安全措施。
“許多行業(yè)成員已經(jīng)承認(rèn)了我們發(fā)現(xiàn)的漏洞，”Bou-Harb說道，“這些信息將有助于對這些充電站進(jìn)行免疫以保護(hù)公眾，另外還能為EV和智能電網(wǎng)背景下的未來安全解決方案提供建議。”
研究人員計劃繼續(xù)分析更多的充電站以進(jìn)一步了解其安全態(tài)勢。他們還在跟幾個行業(yè)伙伴合作來幫助從設(shè)計階段形成新的安全產(chǎn)品并制定安全彈性措施進(jìn)而保護(hù)脆弱的充電站不被利用。
文章轉(zhuǎn)載自cnBeta.COM