英國網路安全公司 Pen Test Partners，剛剛曝光了在六個家用電動汽車充電品牌、以及一個大型公共 EV 充電網路 API 中的幾個安全漏洞。 隨著 IoT 即將在人們的家庭與車輛中無處不在，本次調查給出了物聯網設備監管不力的最新實例，且涉及 Project EV、Wallbox、EVBox、EO Charging 的 EO Hub / EO mini pro 2、Rolec、以及 Hypervolt 這個六個不同的 EV 充電品牌。

問題還涉及 Chargepoint 公共充電網路的 API（資料圖 via Mitsubishi）

安全研究人員 Vangelis Stykas 指出，這些漏洞或允許駭客劫持使用者帳戶、阻礙充電、甚至將其中一款充電器程式設計入侵使用者家庭網路的”後門”。

若公共充電網路遭到駭客攻擊，還可能導致電費竊取、以及通過開啟 / 關閉充電器而造成電網波動。

舉個例子，一款 Wallbox 充電器使用了基於樹莓派的計算模組。 得益於較低的成本，它常被業餘愛好者和程式師所使用。

然而Pen Test Partners創始人 Ken Munro 警告稱：

這個偉大的愛好者兼教育計算平臺，其實並不適合商業應用，因為它缺乏所謂的『安全載入引導程式』。

這意味著任何能夠物理接觸到使用者家庭外部充電器硬體的攻擊者，都可利用這個跳板來打開它、並竊取使用者的Wi-Fi認證。

儘管概率相對較低，但他還是認為充電器供應商不該如此草率地讓使用者面臨額外的風險。

而且相關操作對駭客來說實在太簡單了，我甚至可以在五分鐘內教會你該怎麼做。

充電器中的樹莓派硬體

該公司上周發佈的報告，還涉及由 EVRoaming 基金會維護與管理的、與開放式充電介面等新興協議相關的漏洞。

該協定旨在用戶能夠在不同充電網路之間實現無縫充電連接，而 Munro 也將之比作 EV 充電領域的”運營商之間的漫遊”。

目前 OCPI 尚未被廣泛使用，但若不加以解決，相關問題遲早會導致一個平臺中的漏洞被擴散到另一平臺。

Pen Test Partners 補充道：Wallbox 在其 API 中有兩個獨立的非安全直接物件調用，或導致帳戶被攻擊者劫持。 此外針對 EV 充電站的駭客攻擊，也將造成相當惡劣的影響。

由於電網並非為電力消耗的大幅波動而設計，若駭客能夠開啟 / 關閉足夠數量的直流快速充電器，那無需耗費太多的時間，就會讓電網遭遇過載。

Munro 指出：「我們無意中製造了一種可讓其他人來對付自己的網路武器」。