今年初，新能源汽車充電樁被列為國家“新基建”的七大領(lǐng)域之一，再次帶動(dòng)了充電樁的快速增長。據(jù)電動(dòng)知家了解，截至2020年6月底，全國各類充電樁保有量達(dá)132.2萬個(gè)，其中公共充電樁為55.8萬個(gè)，數(shù)量位居全球首位。

然而，伴隨智能化和網(wǎng)聯(lián)化的發(fā)展，車樁信息互聯(lián)互通帶來了服務(wù)水平和服務(wù)質(zhì)量、便民程度提升的同時(shí)，也面臨一個(gè)不容忽視的安全問題——充電樁信息安全。

近日，以“極有擔(dān)當(dāng)，無畏逆行”為主題的國際安全極客大賽（GeekPwn 2020）在上海開幕。本次大賽匯聚全球頂尖的白帽黑客和少年極客，聚焦云、AI、5G等前沿技術(shù)，通過預(yù)演安全威脅，打響“新基建”安全前哨戰(zhàn)，助力產(chǎn)業(yè)穩(wěn)固發(fā)展。在此次大賽上，自騰訊的參賽隊(duì)伍Blade Team亮相賽場(chǎng)，并成功實(shí)現(xiàn)了對(duì)“無感支付”式直流充電樁的漏洞攻擊演示。

在比賽中，Blade Team安全研究員模擬攻擊者身份，?使用自制轉(zhuǎn)接頭，利用電動(dòng)汽車BMS與直流充電樁通信協(xié)議中的身份認(rèn)證漏洞，只需獲取受害者的車架號(hào)碼，即可盜用受害者的賬戶余額，為自己的車免費(fèi)充電，輕松完成“盜刷”操作。

“目前新能源汽車的車輛身份標(biāo)識(shí)多存在于車身外部，屬于公開信息，也有很多黑產(chǎn)渠道會(huì)販賣這類車輛數(shù)據(jù)，這種方法一旦被黑產(chǎn)掌握，有被大規(guī)模惡意利用的風(fēng)險(xiǎn)?！盉lade Team高級(jí)安全研究員Nicky介紹道。據(jù)了解，此次發(fā)現(xiàn)的漏洞屬于充電通信協(xié)議層面缺陷，采用相同技術(shù)方案的“無感支付”式直流充電樁均受其影響。而即插即充、無感支付更是當(dāng)前充電樁行業(yè)的主流發(fā)展趨勢(shì)，采用“無感支付”技術(shù)的充電樁僅需在初次綁定環(huán)節(jié)對(duì)用戶進(jìn)行身份認(rèn)證，充電時(shí)即可自動(dòng)識(shí)別車輛身份標(biāo)識(shí)，在充電完成后從綁定賬戶中進(jìn)行相應(yīng)扣款。此次Blade Team發(fā)現(xiàn)的漏洞是國內(nèi)首個(gè)充電樁行業(yè)安全漏洞，影響面大、修復(fù)難度高，對(duì)于行業(yè)健康發(fā)展具有很強(qiáng)的風(fēng)險(xiǎn)提示價(jià)值。

當(dāng)前，我國新能源汽車行業(yè)正蓬勃發(fā)展，充電樁作為新基建的重點(diǎn)領(lǐng)域之一，同時(shí)也是新能源汽車最重要的基礎(chǔ)設(shè)施，其安全性不容小視。充電樁或充電站存在點(diǎn)多、面廣、分散的特點(diǎn)，其國內(nèi)端、管、云均缺少有效的安全防護(hù)機(jī)制，每個(gè)節(jié)點(diǎn)都容易遭到入侵，如充電樁自身的系統(tǒng)安全，與本地充電站的數(shù)據(jù)傳輸、充電站與運(yùn)營平臺(tái)的數(shù)據(jù)傳輸，運(yùn)營平臺(tái)的平穩(wěn)運(yùn)營，用戶結(jié)算安全等多個(gè)領(lǐng)域均存在安全隱患。

事實(shí)上早在18年年底，施耐德電氣就已發(fā)布安全公告，承認(rèn)其公司旗下電動(dòng)汽車充電樁產(chǎn)品EVLink Parking受到多個(gè)安全漏洞的影響，包括一個(gè)緊急漏洞、一個(gè)高危漏洞和一個(gè)中危漏洞。施耐德表示，漏洞是由一個(gè)硬編碼的憑證漏洞引起的，一旦被利用，黑客就能獲得整個(gè)系統(tǒng)的訪問權(quán)。施耐德還解決了一個(gè)代號(hào)為 CVE-2018-7801 的代碼注入漏洞，以及一個(gè)代號(hào)為CVE-2018-7802 的 SQL 注入 bug。其中，那個(gè)代碼注入漏洞危險(xiǎn)等級(jí)非常高（CVSS 8.8），一旦被利用，黑客執(zhí)行遠(yuǎn)程代碼就能獲得最高權(quán)限。

不過，對(duì)于新能源汽車的普通用戶，Blade Team研究員也表示無需過度恐慌，該攻擊的實(shí)現(xiàn)需要專業(yè)知識(shí)和專用設(shè)備，真正利用漏洞有一定門檻。在廠商修復(fù)該漏洞前，盡量選擇傳統(tǒng)的二維碼掃碼等充電支付方式，即可規(guī)避不利影響。

新能源汽車充電樁具有投資金額大、產(chǎn)業(yè)鏈條長的特點(diǎn)，它是新能源汽車產(chǎn)業(yè)發(fā)展的重要保障，是智慧交通、智慧能源等新興數(shù)字經(jīng)濟(jì)的重要組成部分。在我國新基建政策的加持下，充電樁市場(chǎng)正迎來黃金發(fā)展期，充電樁市場(chǎng)將大幅放量，未來十年預(yù)計(jì)將形成萬億元的充電樁基礎(chǔ)設(shè)施建設(shè)市場(chǎng)。只有在安全性得到保證的情況下，充電樁市場(chǎng)才能健康長遠(yuǎn)的發(fā)展。

隨著新能源汽車充電樁的大規(guī)模建設(shè)和投入運(yùn)營，現(xiàn)有的安全架構(gòu)、安全技術(shù)、安全機(jī)制已經(jīng)無法滿足智能充電樁的安全需求，對(duì)于安全廠商來說，這將是一個(gè)新的藍(lán)海。