研究人員揭示EV充電站管理系統(tǒng)的脆弱性并提出保護建議

隨著道路上電動汽車數(shù)量的增加，對電動汽車(EV)充電站和這些充電站內基于互聯(lián)網的管理系統(tǒng)的需求也在增加。然而這些管理系統(tǒng)面臨著自己的問題：網絡安全攻擊。
UTSA網絡安全和分析中心主任Elias Bou-Harb及其同事--迪拜大學的Claud Fachkha和蒙特利爾康科迪亞大學的Tony Nasr、Sadegh Torabi和Chadi Assi--正在揭示這些網絡系統(tǒng)的脆弱性。
另外，他們還建議采取一些措施以保護這些網絡免受傷害。
EV內置的系統(tǒng)通過互聯(lián)網履行關鍵職責，包括遠程監(jiān)控和客戶計費，并且越來越多的聯(lián)網EV充電站也是如此。
Bou-Harb和他的研究人員希望探索針對EV充電系統(tǒng)的網絡攻擊的現(xiàn)實影響及如何利用網絡安全對策來減輕它們。他的團隊還評估了被利用的系統(tǒng)如何攻擊關鍵基礎設施，如電網。
“電動汽車是當今的常態(tài)。然而，它們的管理站很容易受到安全漏洞的影響，”Bou-Harb指出，“在這項工作中，我們努力發(fā)現(xiàn)它們的相關安全弱點并了解它們對EV和智能電網的影響，同時提供建議并跟相關行業(yè)分享我們的發(fā)現(xiàn)以便主動進行安全補救。”
據(jù)悉 ，該研究團隊確定了16個EV充電管理系統(tǒng)，他們將這些系統(tǒng)分為獨立的類別，如固件、移動和網絡應用。他們對每個系統(tǒng)進行了深入的安全分析。
Bou-Harb表示，他們設計了一個系統(tǒng)查找和收集方法以此來確定大量的EV充電系統(tǒng)，然后利用逆向工程和白/黑盒網絡應用滲透測試技術展開徹底的漏洞分析。
據(jù)了解，該團隊在這16個系統(tǒng)中發(fā)現(xiàn)了一系列漏洞，并且還特別強調了13個最嚴重的漏洞，如缺少認證和跨網站腳本。通過利用這些漏洞，攻擊者可以造成一些問題--包括操縱固件或偽裝成實際用戶并訪問用戶數(shù)據(jù)。
根據(jù)研究人員最近的一份白皮書研究顯示，雖然有可能對EV生態(tài)系統(tǒng)內的各種實體進行不同的攻擊，但在這項工作中，研究人員重點調查了對被攻擊的充電站、其用戶和連接的電網有嚴重影響的大規(guī)模攻擊。
在這個項目中，該團隊為開發(fā)者制定了若干安全措施、準則和最佳實踐以減輕網絡攻擊。林外，他們還創(chuàng)建了對策來修補他們發(fā)現(xiàn)的每個單獨的漏洞。
為了防止對電網的大規(guī)模攻擊，研究人員建議開發(fā)商修補現(xiàn)有的漏洞，但也要在充電站的制造過程中納入初步的安全措施。
“許多行業(yè)成員已經承認了我們發(fā)現(xiàn)的漏洞，”Bou-Harb說道，“這些信息將有助于對這些充電站進行免疫以保護公眾，另外還能為EV和智能電網背景下的未來安全解決方案提供建議。”
研究人員計劃繼續(xù)分析更多的充電站以進一步了解其安全態(tài)勢。他們還在跟幾個行業(yè)伙伴合作來幫助從設計階段形成新的安全產品并制定安全彈性措施進而保護脆弱的充電站不被利用。
文章轉載自cnBeta.COM