来源:广州日报 作者:邓莉
当你对着车机发出“Hi”指令,它可以非常快捷地引导你前往某合作充电桩充电,这个操作过程正成为很多新能源汽车车主的习惯。不过,如此智慧的智能网联,也为充电桩带来了新的安全漏洞。记者留意到,近一年来,不仅国外研究机构对充电桩数据安全发出了警示;在国内,上周,工信部也罕见地通报了部分充电桩平台存在的信息被滥用等问题。
近年,随着新能源汽车渗透率不断提高,充电桩的需求也不断增加,随之而来充电桩的网络安全问题日益凸显,正引发业内高度关注。
小心你的“电”会被盗刷
在2022年底上海举办的一场国际安全极客大赛(GeekPwn2020)上,参赛队伍BladeTeam演示了对“无感支付”式直流充电桩的漏洞攻击。利用电动汽车BMS与直流充电桩通信协议中的身份认证漏洞,只需获取受害者的车架号码,即可盗用受害者的账户余额,为其他车免费充电,轻松完成“盗刷”操作。这是近年充电桩信息安全漏洞的一个典型案例示范。今年2月,一家国外知名新能源网络安全公司的研究人员发现多个电动汽车充电管理系统都受到漏洞的影响,可用于“分布式拒绝服务攻击”和窃取驾驶员的敏感信息,包括支付卡数据、服务器凭据等。
充电桩服务商平台对于以上类似的充电安全漏洞有着不可推卸的责任,但事实上,部分平台甚至还存在“监守自盗”的情况。今年5月6日,我国工信部通报了10家企业11款APP涉及新能源汽车充换电运营相关的平台存在侵害用户权益的行为,被通报对象包括云能充、小象充、E充站等微信小程序、APP。据通报,这些平台所涉问题包括“违规收集个人信息”“强制用户使用定向推送功能”“APP强制、频繁、过度索取权限”等。
当前,除了充换电质量和稳定外,用户数据安全已经成为充电桩面临的首要问题。关注大数据安全解决方案的北京创安恒宇调研报告指出:5G、大数据、云计算、区块链、人工智能等数字技术在充电桩领域广泛应用,充电桩产业数字化已成为大势所趋。但与日新月异的智慧技术脱节的是,很多充电桩服务商面对网络的攻击没有招架之力,导致用户数据容易被滥用和泄露。
充电服务商面临网络安全危机
万物互联,为各类应用创新提供了施展的舞台,也因此,充电桩作为电动汽车的首要接口,如今更间接变成了交通信息的收集者、传递者与承载者,而一旦信息泄露,后果严重。业内人士指出,尤其是近年即插即充、无感支付成为充电桩行业的主流发展趋势,风险极大。BladeTeam高级安全研究员Nicky则表示,该团队在国际安全极客大赛上演示的漏洞属于充电通信协议层面缺陷,采用相同技术方案的“无感支付”式直流充电桩均受其影响。此漏洞影响面大、修复难度高,对于行业健康发展具有很强的风险提示价值。