譯者 | 陳峻

審校 | 重樓

近年來，隨著純電和混動汽車數量的爆炸式增長，其配套的充電樁的需求也呈直線攀升趨勢。不過，這些充電樁可能面臨著獨特的網絡安全風險。只要黑客們掌握了足夠的相關信息，他們不但能夠遠程關閉供電網絡，甚至會入侵和篡改汽車的設置。下面，我們將深入討論此類至關重要的安全問題。

為什么電動汽車充電樁會存在網絡安全風險？

2021年，美國曾宣布其目標是在現有 10 萬個充電站點的基礎上，再增加 50 萬個站點，并已投資了多達 150 億美元。作為物聯網（IoT）設備，各種被分散部署的電動汽車充電樁在其所處的生態系統中，由于設備鮮少得到更新，運行過程中缺乏監管，因此可能存在著安全漏洞，面臨著攻擊威脅，以及隱私泄漏等網絡安全隱患。

與此同時，由于被部署在光線昏暗且人跡罕至的泊車處，電動汽車充電樁的電子硬件本身，也容易受到物理攻擊與破壞。

誰更容易受到此類網絡安全風險的攻擊？

其實，每個使用電動汽車充電樁、或在車聯網上操作車輛的人，都有可能遭遇網絡安全攻擊。當然，由于快速充電的成本較高，大多數人往往會選擇慢充來節省花銷。而這會造成黑客有了更加充裕的時間，從物聯網滲透到車機系統的可能性會更高，給用戶帶來的損失也就更大。

電動汽車充電樁將會怎樣受到攻擊？

如前所述，鑒于充電樁地理環境的特點，各種外部物理連接往往比較脆弱，而且存在各種潛在的安全風險。例如，制造商和安裝人員通常會將電動汽車充電樁，集成到現有樓宇的自動化管理系統中，以監控充電狀態和使用情況。那么，究竟會有哪些已知的攻擊面會被利用，進而給充電樁、及其電動汽車帶來網絡安全事故呢？

1. 惡意數據注入：黑客可以通過收集充電樁（特別是掃碼充電）的網絡密鑰，向系統后臺與用戶的網絡會話中，注入惡意數據。
2. 虛假顯示信息：黑客可以利用惡意軟件，來篡改和偽造顯示屏上與用戶身份、電量信息、以及消費金額等相關的數據。
3. 中斷充電會話：黑客可以使用功率不到 1 瓦的軟件定義無線電（software-defined radio），在離充電樁近 155 英尺的距離，以無線的方式強制終止當前的充電會話。
4. 篡改 WiFi：對于那些家用充電樁而言，攻擊者可以利用家里網絡中的系統漏洞為跳板，篡改充電樁、以及其他已連入WiFi的設備配置信息。

目前，隨著電動汽車的需求量和用戶基數的不斷攀升，這些攻擊會越來越頻繁的出現在我們的生活中。

網絡安全風險會給電動汽車充電樁帶來哪些后果？

信息欺騙、數據盜竊、會話中斷、以及系統篡改通常是電動汽車充電樁受到攻擊后產生的主要后果。此外，如下潛在的嚴重后果也不容忽視：

1. 隱私泄漏：黑客會利用電動汽車與充電樁的物理連接，從中竊取用戶的個人身份信息（如用來付費的信用卡號碼）。同時，由于公共充電樁缺乏傳輸層的安全，因此其極易受到側信道的攻擊（side-channel attacks）。
2. 分布式拒絕服務（Distributed denial-of-service，DDoS）攻擊：如果黑客通過 DDoS 攻擊去系統性地劫持充電樁，就可能導致整個電網的癱瘓。2019 年，紐約大學坦登（Tandon）分校的研究人員發現，他們只需要同時利用 1,000 個電動汽車充電樁連接，就能讓一個城市的某個區域陷入停電狀態。
3. 憑證盜竊：通過惡意數據的注入，黑客可以竊取用戶的合法憑證，進而欺騙電動汽車執行非法操作。例如，他們可以利用此類方法，去劫持與充電樁的已連接會話，并且發起偽裝攻擊。
4. 中間人攻擊：作為第三者，黑客可以冒充充電樁和電動車的任意一方，發起中間人攻擊。輕者，他們可能會成功竊電，重者則會偽造故障錯誤，阻止電動汽車的后續充電。
5. 中斷充電會話：黑客極有可能通過提取車輛的 GPS 數據，來查看并獲悉充電樁的位置，從而干擾后續的充電過程。其效果類似于 DDoS 攻擊。

可見，只要獲得足夠的知識，黑客只需利用幾輛正在充電的電動汽車，就能夠讓整個電網癱瘓。同時，他們也可以進行大規模的身份盜竊活動，甚至直接讓汽車無法運行。

充電樁漏洞的罪魁禍首

聯邦政府、特斯拉、以及最大的公共充電樁業務供應商Electrify America（大眾集團旗下的充電樁公司）都應該對網絡安全負有主要負責。2023 年 1 月，一個攻擊者僅使用手機，便完全控制了Electrify America公司的一個公共充電樁。由于充電樁的屏幕上居然顯示了疑似后端的內容，因此面對如此顯而易見的漏洞，他只用了幾秒鐘就攻進了充電樁的內部電腦。

好在他的后續舉動只是為了向其追隨者展示該漏洞，并證明只要有更多的知識，就可以據此竊取個人身份信息。雖然 Electrify America 通過發表聲明對其行為提出了警告，并指出未經授權的訪問可能會導致嚴重的犯罪行為，但是該公司除了含糊其辭地表示將開展調查之外，并未立即采取后續行動。

哪些國家正在解決此類網絡安全問題

雖然一些政府和公司已采取了積極的措施，來解決電動汽車充電樁的網絡安全問題，但是截至 2023 年，這尚未形成普遍的行業要求。正是由于沒有標準化的協議可循，因此，整體網絡的中任何一個薄弱環節，都可能給所有系統帶來安全風險。

業內專家預計，到 2035 年，電動汽車將占新車銷售量的 45%，并使得所有乘用車中有近 50%是電動汽車。而且各國政府的激勵措施可能會進一步提高這一數字。既然很快就會有更多的電動汽車上路，那么誰來監控并確保它們的安全呢？

英國是少數幾個已采取措施，加強充電樁網絡安全的國家之一。它要求充電樁具備憑證認證，數據加密，以及信息刪除等特性。同時，業務供應商還必須定期提供更新，以盡量減少漏洞被利用的機會。

而截至 2023 年，美國聯邦公路管理局和交通部，只為政府資助的項目制定了最低的網絡安全標準。雖然這些標準是朝著正確方向邁出的第一步，但是其適用范圍仍然比較狹窄。

因此，為了解決電動汽車充電樁的網絡安全問題，政府必須深度介入，規定最低限度的安全措施、以及針對消費者的安全要求。

電動汽車充電樁未來的網絡安全

綜上所述，目前，由于運營公司、安裝人員、以及連接的建筑物，對于網絡安全的要求尚較為寬松，因此我們可以說大多數充電樁是并不安全的。隨著各國政府加強監管和法律法規的出臺，以及各個業務供應商、運營商的合規實施，作為未來消費者必備的交通工具，電動汽車及其配套充電樁的網絡安全態勢，勢必得到顯著提高。

譯者介紹

陳峻（Julian Chen），51CTO社區編輯，具有十多年的IT項目實施經驗，善于對內外部資源與風險實施管控，專注傳播網絡與信息安全知識與經驗。

原文標題：Do EV Chargers Present a Cybersecurity Risk? ，作者：Devin Partida