最近的网络安全研究中发现,在多个电动汽车 (EV) 充电系统中发现多个安全漏洞,可被黑客利用来远程控制充电桩,甚至可以窃取敏感数据。
当前,随着新能源汽车的快速发展,新能源车充电桩/充电站接入互联网已成为必然趋势,但由于安全基础的缺失,这些基础设置成为了黑客们的新目标。
黑客们甚至可利用新能源汽车的充电桩/充电站系统的漏洞,发起针对电网等关键基础设施的大规模网络攻击,个别充电桩的漏洞可能成为危及国家安全的突破口。
我国拥有全球最多的新能源汽车充电桩,已构建起庞大的能源互联网。据中国电动汽车充电基础设施促进联盟公布的数据,截至今年1月,全国新能源汽车充电桩273.1万台,其中公共类充电桩达117.8万台。业内人士表示,若不加强能源互联网的数字安全建设,这些充电桩极有可能成为黑客攻击的 “高速绿色通道”。
黑客是如何入侵的?
攻击者可通过系统漏洞在已经连接时,从有效充电器到其 CSMS 提供商的连接,建立新连接时关闭原始 WebSocket 连接时出现的拒绝服务 (DoS),从而控制充电设备,允许访问驾驶员的个人数据、信用卡详细信息和 CSMS 凭据等数据。
安全专家表示,在开放充电点协议(OCPP)中发现了漏洞,可用于分布式拒绝服务(DDoS)攻击和窃取敏感信息。
黑客入侵充电设施后的威胁有哪些?
1、黑客可以通过互联网远程访问和控制这些充电桩/充电站;
2、因大量充电桩/充电站使用未加密的通信协议,黑客们可进行拦截、窃取或篡改数据。
安全专家表示,此事件也充分说明,随着产业数字化的发展,计算机安全、网络安全已升级为数字化安全,安全风险开始遍布整个社会中,若不对安全问题加以重视,则有可能对个人生命财产、行业以及关键基础设施造成重大安全隐患。
金融、政府、医疗等这些敏感行业,数据的安全性更为重要,应在威胁来临之前,提前部署安全防护措施,采用数据加密、数据防泄漏、水印、数据溯源、病毒检测、异常告警、防火墙、隐藏地址、访问管控等策略,只有这样才能形成数据安全的保护体系,纵深地去防御解决数据安全问题。