譯者：布加迪

如果你留意到附近出現了汽車充電站，恭喜你！你是日益龐大的系統網路中的一員，但這些系統的安全性很差，有一天它們可能被用來破壞整個電網的穩定性，安全問題足以成為當下值得關注的話題。

這是新墨西哥州阿爾伯克基市桑迪亞國家實驗室的科學家們得出的結論，他們歷時四年研究電動汽車供電裝置（EVSE）中已演示的漏洞和公開披露的

1。嘿，我認識到這個漏洞！

與此同時，犯罪分子現在可以使用大量的攻擊手段。不過，這些是多年來我們在其他科技領域看到的老大難問題。

研究人員在論文中說：“之前研究人員多次演示過可以透過電動汽車到EVSE連線來竊取憑據或影響充電過程。”有一回，“針對調查了7輛汽車和18輛電動汽車”，研究人員成功地從47米開外用一個功率不足1瓦的軟體定義無線電探測並中斷了充電訊號。

RFID克隆目前在早期的EVSE基礎設施中有可能實現，這可能導致小偷使用別人的借記卡或信用卡來充電。研究人員表示，一些用於管理充電過程的iOS和安卓應用程式“也很容易逆向工程處理，從而暴露EVSE管理和供應商雲介面存在的弱點”。

EVSE網際網路介面的問題很容易猜到：它們常常使用不安全的Web服務，這些服務可以從本地智慧手機或電腦來訪問，而多家制造商的充電器可以在網際網路上找到。報告發現，充電器使用的Web服務存在漏洞，攻擊者可以透過這些漏洞篡改配置資料或推送惡意韌體更新。

充電器和雲服務之間的通訊也存在許多問題，比如缺乏適當的驗證方法，沒有淨化處理輸入欄位，甚至因廠商保持遠端後門訪問而暴露在供應鏈攻擊面前。

硬體漏洞包括一大批過時的Linux核心在執行多餘服務，這些服務可以透過暴露的USB埠來訪問，從而讓攻擊者可以上傳惡意韌體。一些充電器甚至被發現在沒有安全引導載入程式的情況下就在樹莓派上執行。

另外，還存在無數硬編碼的憑據、未加入隨機字串（salt）就雜湊處理的密碼及其他加密禁忌。

2。形勢不容樂觀

我們學到了什麼？電動汽車充電行業對待網路安全的態度似乎與物聯網背後的公司如出一轍：事後諸葛亮。

主持這個研究專案的桑迪亞國家實驗室電氣工程師Jay Johnson表示，他希望其團隊的發現可以幫助瞭解這個行業的當前狀態，這對解決問題至關重要。

他解釋道：“透過對電動汽車充電器的漏洞開展這項調查，我們可以優先向政策制定者提出建議，告知他們行業需要哪些安全改進。”

政府可能會說“生產安全的電動汽車充電器”，但以預算為導向的公司並不總是選擇最安全的網路實現方法。相反，政府可以透過提供辦法、建議、標準和最佳實踐，直接支援行業。

這並不奇怪，但桑迪亞國家實驗室建議做好基本的網路安全工作，比如刪除不需要的服務、保持軟體更新、鎖定物理埠和使用適當的加密技術。

該團隊還建議實施更好的電動汽車車主驗證方法，比如即插即充公鑰基礎設施、網路入侵檢測系統、程式碼簽名韌體更新以及充電行業最佳實踐建議中提到的其他習慣。

該團隊已收到了後續資金，以彌補它們與愛達荷國家實驗室和太平洋西北國家實驗室共同發現的一些不足。三家實驗室正共同致力於開發一種電動汽車充電器系統，該系統採用新方法來保護公共基礎設施免受不法分子的影響。但除非政府採取一些監管措施，否則情況不會改善。

許多EVSE製造商在拼命跟上市場需求。儘管相關法規已有討論，但這些法規至少一年內不太可能出現。注意這種情形適用於美國，英國已經提議了電動汽車充電器方面的法規，將於明年生效。

雖然一些供應商已經改進了安全性，但這些公司發現自己在市場上處於不利地位，無法與那些喜歡將產品迅速推向市場的公司相競爭。在法規出臺確保公平競爭環境之前，市場趨勢對不安全的系統有利。