電動車充電系統也出包 安全漏洞可能導致DDoS攻擊
編譯/鄭智懷
專攻電動車充電基礎設施與分散式能源領域的以色列資案業者SaiFlow發現,市面上多家供應商的電動車充電站管理系統(CSMS)存有數量不一的安全漏洞,即使是資源有限、經驗不足的低階駭客也可以利用其發動DDoS攻擊或竊取車主資料。
該公司指出,安全漏洞主要肇因於主流運用的開放充電站通訊標準(OCPP)1.6J。首先,根據該標準認證的充電站在車主為電動車充電時,會錯誤處理多個充電點(CP)和充電站管理系統的連接,駭客可藉此設立新的WebSocket 協定,破壞充電系統的正常工作。其次,現行的充電站身分認證安全性過低,駭客可輕易欺騙系統,執行犯罪行動。
根據研究,系統的安全漏洞可能導致四種狀況:第一,中斷系統與充電樁的連結,不僅導致車主無法正常充電,也可能對其造成分散式阻斷服務(DDoS)攻擊,或是免費為攻擊者的電動車充電;第二,同時保持與系統的複數連結,但通訊中止,以便從系統竊取資料;第三;同時保持與系統的複數連結,但僅與駭客維持通訊,進而偷取資料或對車主發動分散式阻斷服務攻擊;第三,同時保持與系統的複數連結,從而存取伺服器資料,盜取公司或車主的數位資料。
SaiFlow 的聯合創始人兼執行長 Ron Tiberg-Shacha表示,由於充電站管理系統開放給所有人使用,駭客可以輕易執行遠動控制,或是無需取得安全憑證,即可存取,或是發動中間人(MITM)攻擊。Ron Tiberg-Shacha補充道,就算是資源有限、經驗不足的低階駭客也有可能透過上述漏洞發動攻擊行動。
資料來源:SaiFlow
瀏覽 1,506 次