電動車充電系統也出包  安全漏洞可能導致DDoS攻擊

編譯／鄭智懷

專攻電動車充電基礎設施與分散式能源領域的以色列資案業者SaiFlow發現，市面上多家供應商的電動車充電站管理系統（CSMS）存有數量不一的安全漏洞，即使是資源有限、經驗不足的低階駭客也可以利用其發動DDoS攻擊或竊取車主資料。

該公司指出，安全漏洞主要肇因於主流運用的開放充電站通訊標準（OCPP）1.6J。首先，根據該標準認證的充電站在車主為電動車充電時，會錯誤處理多個充電點（CP）和充電站管理系統的連接，駭客可藉此設立新的WebSocket 協定，破壞充電系統的正常工作。其次，現行的充電站身分認證安全性過低，駭客可輕易欺騙系統，執行犯罪行動。

根據研究，系統的安全漏洞可能導致四種狀況：第一，中斷系統與充電樁的連結，不僅導致車主無法正常充電，也可能對其造成分散式阻斷服務（DDoS）攻擊，或是免費為攻擊者的電動車充電；第二，同時保持與系統的複數連結，但通訊中止，以便從系統竊取資料；第三；同時保持與系統的複數連結，但僅與駭客維持通訊，進而偷取資料或對車主發動分散式阻斷服務攻擊；第三，同時保持與系統的複數連結，從而存取伺服器資料，盜取公司或車主的數位資料。

SaiFlow 的聯合創始人兼執行長 Ron Tiberg-Shacha表示，由於充電站管理系統開放給所有人使用，駭客可以輕易執行遠動控制，或是無需取得安全憑證，即可存取，或是發動中間人（MITM）攻擊。Ron Tiberg-Shacha補充道，就算是資源有限、經驗不足的低階駭客也有可能透過上述漏洞發動攻擊行動。

資料來源：SaiFlow

瀏覽 1,391 次