10月24日,一年一度的“白帽黑客”对战盛典GeekPwn2020国际性安全性极克比赛上海市区完美收官,来源于腾讯官方的比赛团队Blade Team现身比赛场,并取得成功完成了对“无感支付”式直流充电桩的系统漏洞进攻演试。
在赛事中,Blade Team安全性研究者仿真模拟网络攻击真实身份,仅需得到仿真模拟受害人的车子真实身份标志,并采用独特设备连接“无感支付”直流充电桩与车辆,就能运用充电桩通讯协议系统漏洞,轻轻松松进行“盗刷”实际操作。
“现阶段新能源车的车子真实身份标志多出现于车体外界,归属于公布信息内容,也是有许多灰产方式会售卖这类车子数据信息,这类方式一旦被灰产把握,有被规模性故意运用的风险性。”Blade Team高級安全性研究者Nicky详细介绍道。
本次Blade Team发觉的系统漏洞是我国第一个充电桩行业网络安全问题,影响度大、修补难度系数高,针对领域建康快速发展具备较强的风险分析使用价值。
现阶段,在我国新能源车领域正迅猛发展,充电桩做为新基建的重点区域之一,与此同时也是新能源车最重要的基础设施建设,其安全系数不容小视。
而即插即充、无感支付也是现阶段充电桩行业的流行发展趋向,选用“无感支付”技术性的充电桩仅需在第一次关联阶段对使用者开展身份验证,电池充电时就可以自动检索车子真实身份标志,在电池充电结束后从关联帐户中完成相对应扣费。
做为腾讯安全服务平台部一支潜心前沿科技行业安全性的分析精英团队,Blade Team首先关心到充电桩行业的安全性科学研究空缺,并凭着之前在物联网技术、硬件配置等技术领域的累积,进行对“无感支付”式充电桩的深入分析。
据统计,本次发觉的系统漏洞归属于电池充电通讯协议方面缺点,选用同样技术规范的“无感支付”式直流充电桩均受其危害。现阶段腾讯官方Blade Team已根据GeekPwn官方网向有关生产商递交系统漏洞关键点,并将帮助生产商开展修补。
针对新能源车的本地用户,Blade Team研究者也表明不用过多焦虑,该进攻的完成必须专业技能和专业设备,真真正正运用系统漏洞有一定门坎。在生产商修补该系统漏洞前,尽可能挑选传统式的二维码扫码等电池充电付款方式,就可以避开不好危害。