充电桩|无感充电存隐患!腾讯报告充电桩严重安全漏洞,广大新能源车主受影响
10月24日 , 一年一度的“白帽黑客”对决盛会GeekPwn2020国际安全极客大赛在上海举办 , 来自腾讯的参赛队伍Blade Team亮相赛场 , 并成功实现了对“无感支付”式直流充电桩的漏洞攻击演示 。
【充电桩|无感充电存隐患!腾讯报告充电桩严重安全漏洞,广大新能源车主受影响】在比赛中 , ?Blade Team安全研究员模拟攻击者身份 , 仅需获得模拟受害者的车辆身份标识 , 并使用特殊设备连接“无感支付”直流充电桩与汽车 , 就能利用充电桩通信协议漏洞 , 轻松完成“盗刷”操作 。
文章图片
文章图片
“目前新能源汽车的车辆身份标识多存在于车身外部 , 属于公开信息 , 也有很多黑产渠道会贩卖这类车辆数据 , 这种方法一旦被黑产掌握 , 有被大规模恶意利用的风险 。”Blade Team高级安全研究员Nicky介绍道 。
此次Blade Team发现的漏洞是国内首个充电桩行业安全漏洞 , 影响面大、修复难度高 , 对于行业健康发展具有很强的风险提示价值 。
当前 , 我国新能源汽车行业正蓬勃发展 , 充电桩作为新基建的重点领域之一 , 同时也是新能源汽车最重要的基础设施 , 其安全性不容小视 。
而即插即充、无感支付更是当前充电桩行业的主流发展趋势 , 采用“无感支付”技术的充电桩仅需在初次绑定环节对用户进行身份认证 , 充电时即可自动识别车辆身份标识 , 在充电完成后从绑定账户中进行相应扣款 。
作为腾讯安全平台部一支专注前沿技术领域安全的研究团队 , Blade Team率先关注到充电桩行业的安全研究空白 , 并凭借此前在物联网、硬件等技术领域的积累 , 展开对“无感支付”式充电桩的深入研究 。
据了解 , 此次发现的漏洞属于充电通信协议层面缺陷 , 采用相同技术方案的“无感支付”式直流充电桩均受其影响 。目前腾讯Blade Team已通过GeekPwn官方向相关厂商提交漏洞细节 , 并将协助厂商进行修复 。
对于新能源汽车的普通用户 , Blade Team研究员也表示无需过度恐慌 , 该攻击的实现需要专业知识和专用设备 , 真正利用漏洞有一定门槛 。在厂商修复该漏洞前 , 尽量选择传统的二维码扫码等充电支付方式 , 即可规避不利影响 。
推荐阅读
- 热门访谈|购买无线充电器时,最好要了解的,几个tip
- 创科数字|库克嘴上说着环保,把充电头拧出来卖又能大赚一笔
- 功率|超高功率充电必备 双电芯设计改变了快充
- |手机充电先插手机,还是电源?很多人都做错了
- 新京报|占据市场近九成的仿制药,存在着哪些安全隐患?
- 我是李可|小身材实力超能打的摩米士小白氮化镓100W充电器
- 真香|OPPO Ace2首销火爆,网友晒订单:115W最强充电组合真香!
- 小固Running|带上3万mAh的充电宝,还会担心手机没电吗?
- 斯利廷|荣耀旗舰机迎来清仓!麒麟990+无线充电,现在值得入手吗?
- 科技陈陈|能替代苹果12原装充电头,飞利浦65W摩天轮智能插座