研究人員揭示EV充電站管理系統的脆弱性並提出保護建議
隨著道路上電動汽車數量的增加,對電動汽車(EV)充電站和這些充電站內基於互聯網的管理系統的需求也在增加。然而這些管理系統面臨著自己的問題:網絡安全攻擊。
資料圖
UTSA網絡安全和分析中心主任Elias Bou-Harb及其同事–迪拜大學的Claud Fachkha和蒙特利爾康科迪亞大學的Tony Nasr、Sadegh Torabi和Chadi Assi–正在揭示這些網絡系統的脆弱性。
另外,他們還建議採取一些措施以保護這些網絡免受傷害。
EV內置的系統通過互聯網履行關鍵職責,包括遠程監控和客戶計費,並且越來越多的聯網EV充電站也是如此。
Bou-Harb和他的研究人員希望探索針對EV充電系統的網絡攻擊的現實影響及如何利用網絡安全對策來減輕它們。他的團隊還評估了被利用的系統如何攻擊關鍵基礎設施,如電網。
“電動汽車是當今的常態。然而,它們的管理站很容易受到安全漏洞的影響,”Bou-Harb指出,“在這項工作中,我們努力發現它們的相關安全弱點並了解它們對EV和智能電網的影響,同時提供建議並跟相關行業分享我們的發現以便主動進行安全補救。”
據悉,該研究團隊確定了16個EV充電管理系統,他們將這些系統分為獨立的類別,如固件、移動和網絡應用。他們對每個系統進行了深入的安全分析。
Bou-Harb表示,他們設計了一個系統查找和收集方法以此來確定大量的EV充電系統,然後利用逆向工程和白/黑盒網絡應用滲透測試技術展開徹底的漏洞分析。
據了解,該團隊在這16個系統中發現了一系列漏洞,並且還特別強調了13個最嚴重的漏洞,如缺少認證和跨網站腳本。通過利用這些漏洞,攻擊者可以造成一些問題–包括操縱固件或偽裝成實際用戶並訪問用戶數據。
根據研究人員最近的一份白皮書研究顯示,雖然有可能對EV生態系統內的各種實體進行不同的攻擊,但在這項工作中,研究人員重點調查了對被攻擊的充電站、其用戶和連接的電網有嚴重影響的大規模攻擊。
在這個項目中,該團隊為開發者制定了若干安全措施、準則和最佳實踐以減輕網絡攻擊。林外,他們還創建了對策來修補他們發現的每個單獨的漏洞。
為了防止對電網的大規模攻擊,研究人員建議開發商修補現有的漏洞,但也要在充電站的製造過程中納入初步的安全措施。
“許多行業成員已經承認了我們發現的漏洞,”Bou-Harb說道,“這些信息將有助於對這些充電站進行免疫以保護公眾,另外還能為EV和智能電網背景下的未來安全解決方案提供建議。”
研究人員計劃繼續分析更多的充電站以進一步了解其安全態勢。他們還在跟幾個行業夥伴合作來幫助從設計階段形成新的安全產品並製定安全彈性措施進而保護脆弱的充電站不被利用。