10月24日,一年一度的“白帽黑客”對決盛會GeekPwn2020國際安全極客大賽在上海舉辦,來自騰訊的參賽隊伍Blade Team亮相賽場,并成功實現(xiàn)了對“無感支付”式直流充電樁的漏洞攻擊演示。
在比賽中,Blade Team安全研究員模擬攻擊者身份,僅需獲得模擬受害者的車輛身份標(biāo)識,并使用特殊設(shè)備連接“無感支付”直流充電樁與汽車,就能利用充電樁通信協(xié)議漏洞,輕松完成“盜刷”操作。
“目前新能源汽車的車輛身份標(biāo)識多存在于車身外部,屬于公開信息,也有很多黑產(chǎn)渠道會販賣這類車輛數(shù)據(jù),這種方法一旦被黑產(chǎn)掌握,有被大規(guī)模惡意利用的風(fēng)險。”Blade Team高級安全研究員Nicky介紹道。
此次Blade Team發(fā)現(xiàn)的漏洞是國內(nèi)首個充電樁行業(yè)安全漏洞,影響面大、修復(fù)難度高,對于行業(yè)健康發(fā)展具有很強的風(fēng)險提示價值。
當(dāng)前,我國新能源汽車行業(yè)正蓬勃發(fā)展,充電樁作為新基建的重點領(lǐng)域之一,同時也是新能源汽車最重要的基礎(chǔ)設(shè)施,其安全性不容小視。
而即插即充、無感支付更是當(dāng)前充電樁行業(yè)的主流發(fā)展趨勢,采用“無感支付”技術(shù)的充電樁僅需在初次綁定環(huán)節(jié)對用戶進(jìn)行身份認(rèn)證,充電時即可自動識別車輛身份標(biāo)識,在充電完成后從綁定賬戶中進(jìn)行相應(yīng)扣款。
作為騰訊安全平臺部一支專注前沿技術(shù)領(lǐng)域安全的研究團(tuán)隊,Blade Team率先關(guān)注到充電樁行業(yè)的安全研究空白,并憑借此前在物聯(lián)網(wǎng)、硬件等技術(shù)領(lǐng)域的積累,展開對“無感支付”式充電樁的深入研究。
據(jù)了解,此次發(fā)現(xiàn)的漏洞屬于充電通信協(xié)議層面缺陷,采用相同技術(shù)方案的“無感支付”式直流充電樁均受其影響。目前騰訊Blade Team已通過GeekPwn官方向相關(guān)廠商提交漏洞細(xì)節(jié),并將協(xié)助廠商進(jìn)行修復(fù)。
對于新能源汽車的普通用戶,Blade Team研究員也表示無需過度恐慌,該攻擊的實現(xiàn)需要專業(yè)知識和專用設(shè)備,真正利用漏洞有一定門檻。在廠商修復(fù)該漏洞前,盡量選擇傳統(tǒng)的二維碼掃碼等充電支付方式,即可規(guī)避不利影響。
