Buzz
Bảo mật sạc xe điện đang trở thành một vấn đề lớn
Sự gia tăng của các xe điện trên đường đòi hỏi chúng ta cần thêm nhiều trạm sạc xe điện hơn. Nhưng nghiên cứu trong tháng này đã đặt ra một tín hiệu đỏ lớn về an ninh của việc sạc xe điện. Các nhà nghiên cứu từ Pen Test Partners đã khám phá sáu thương hiệu sạc xe điện tại nhà và mạng lưới sạc xe điện công cộng và phát hiện ra những vấn đề đáng kể.
Họ phát hiện ra những lỗ hổng trong Project EV, Wallbox, EVBox, EO Charging’s EO Hub và EO mini pro 2, và Hypervolt, cũng như mạng lưới sạc công cộng Chargepoint. Họ cũng kiểm tra Rolec của EV nhưng không phát hiện ra lỗ hổng nào.
Chào mừng những hacker trắng
Bạn phải yêu những hacker trắng. Họ làm việc chăm chỉ để tìm ra những lỗ hổng trước khi những kẻ xấu làm. Đáng kinh ngạc là công ty bị họ phát hiện lỗi thường chỉ nhận thức đến nỗ lực của họ sau khi truyền thông đưa tin.
Đối với việc sạc tại nhà, bộ sạc xe điện thông minh cho phép chủ xe theo dõi và quản lý từ xa tình trạng sạc, tốc độ và thời gian sạc qua ứng dụng. Các ứng dụng di động tất cả giao tiếp với bộ sạc qua một API và nền tảng dựa trên đám mây. Những bộ sạc thường được kết nối với mạng Wi-Fi tại nhà của chủ nhân.
Nhóm nghiên cứu đã phát hiện một loạt các lỗ hổng. Họ có thể xâm nhập vào hàng triệu bộ sạc xe điện. Trong một số trường hợp, họ có thể tiếp quản tài khoản và bật/tắt sạc từ xa.
Trong một trường hợp khác, họ có thể sử dụng điểm sạc như một 'cửa sau' từ xa vào mạng nhà người dùng, từ đó có thể tiềm ẩn nguy cơ tấn công vào các thiết bị khác trong nhà của người dùng. Cụ thể, không xác nhận lỗi nào với Hypervolt ngoại trừ việc một RPi 'có thể' bị dễ tấn công. Không tìm thấy lỗ hổng từ xa hoặc điểm kết thúc có lỗ hổng.
Một số bộ sạc đã quay lại phương pháp cũ bằng cách sử dụng Raspberry Pi Compute Module. Những người kiểm thử ghi chú:
Chúng tôi yêu thích Pi, nhưng theo ý kiến của chúng tôi, nó không phù hợp cho việc sử dụng thương mại trong các thiết bị công cộng vì nó rất khó để bảo vệ đầy đủ chống lại việc thu hồi dữ liệu đã lưu trữ.
Tuy nhiên, họ ghi chú:
Rủi ro bị tấn công dường như thấp, vì cần phải có quyền truy cập vật lý vào bộ sạc.
Trong trường hợp của trạm sạc xe điện công cộng, họ tin rằng việc truy cập vào tài khoản của người dùng khác để sạc miễn phí là khả thi. Họ cũng ghi chú về một vấn đề lớn tiềm ẩn làm đảo lộn lưới điện bằng cách bật/tắt sạc đồng thời:
Mặc dù các nhà sản xuất điện lực của chúng ta đang nỗ lực lớn để duy trì sự ổn định, những bộ sạc mạnh mẽ và lỗ hổng bảo mật kết hợp đã tạo ra một loại vũ khí mạng không an ninh mà người khác có thể sử dụng để gây ra cúp điện trên diện rộng.
Không phải là lần đầu tiên EV gặp vấn đề về trạm sạc
Nghiên cứu này không phải là ví dụ đầu tiên về lỗ hổng bảo mật trong sạc xe điện.
Năm 2019, Nhóm nghiên cứu an ninh đã phát hiện lỗ hổng bảo mật trong các trạm sạc EVlink Parking của Schneider Electric. Hacker có thể ngừng sạc xe và ngăn người khác sử dụng bộ sạc. Một kẻ xấu có thể thậm chí mở khóa cáp sạc trong khi đang sạc. Cũng có nhiều cơ hội để đạt được đầy đủ quyền hạn, thêm người dùng, thay đổi tệp, và nhiều hơn nữa.
Năm ngoái, các kỹ sư tại Viện Nghiên cứu Southwest mô phỏng một cuộc tấn công độc hại vào một trạm sạc xe điện bằng một thiết bị giả mạo được làm từ phần cứng rẻ và phần mềm đơn giản. Nghiên cứu viên có thể giới hạn chi phí sạc cũng như sạc quá mức và không đủ, và sau đó có thể gây ra vấn đề an toàn lớn. Nhưng may mắn, hệ thống quản lý pin có thể phát hiện và ngắt kết nối khi sạc quá mức.
Khách hàng xe điện không xứng đáng hơn sao?
Charging your EV at home can create home network vulnerabilitiesChúng ta biết về tất cả những vấn đề này nhờ vào công việc tuyệt vời của các nhà nghiên cứu. Nhưng việc hack là một mối đe doạ đích thực trong một ngành công nghiệp đang phát triển nhanh chóng. Xấu hơn nữa, các ngành công nghiệp không học từ sự rối loạn thừa thủy của bảo mật IoT.
Ngoài việc kiểm soát chức năng sạc chính, hack có thể dẫn đến mạo danh, gian lận và chèn malware. Điều đáng lo ngại là những nhóm an ninh trắng phát hiện ra rằng một số yếu tố bảo mật cơ bản nhất thiếu sót. Điều này bao gồm việc không có quyền API và chữ ký firmware.
Bảo mật sạc xe điện là biểu tượng của một vấn đề bảo mật có những cuộc tấn công tiềm ẩn thông qua ứng dụng di động, cập nhật firmware và điểm truy cập vật lý.
Bảo mật sạc xe điện là một cuộc rối loạn Trong khi các vấn đề an toàn của xe điện được đề cập chủ yếu bởi tiêu chuẩn quốc tế ISO 6469, không có tiêu chuẩn bảo mật xe điện toàn cầu tương đương. Việc phát triển một đòi hỏi sự hợp tác giữa các bên như nhà sản xuất ô tô, nhà điều hành trạm sạc, nhà sản xuất, công ty tiện ích và nhà cung cấp bên thứ ba. Mỗi ngành công nghiệp này đều là một điểm vào cho hacker.
Những lỗ hổng được chỉ định trong bài viết này đã được khắc phục. Tuy nhiên, sẽ không lâu cho đến khi một rủi ro bảo mật khác được tiết lộ — hy vọng không phải là do hành động của tội phạm mạng.
Điện xe có làm cho các hạt điện của bạn sôi động không? Xe đạp điện có khiến bánh xe của bạn quay không ngừng? Xe tự lái có khiến bạn hứng khởi không?
