這個故事最初由 Grist, 一個報道氣候、正義和解決方案的非營利媒體組織釋出。
這個故事與 WIRED. 共同釋出。
由於他的起亞EV6電動汽車電量不足,斯凱·馬爾科姆駛入印第安納州特雷霍特附近的一排快速充電器,準備充電。當他的汽車開始充電時,他瞥了一眼附近的充電器。其中一個特別顯眼。
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您將有助於確保有關塑造我們今天世界的發現和想法的具有影響力的故事的未來。
與其他Electrify America裝置上顯示的商業化歡迎介面不同,這個裝置上顯示了一張 拜登總統指著手指的照片,並配有“我做到了!”的標題。這與總統的批評者去年在汽油價格飆升時開始貼在加油泵上的模因相同,並在螢幕上克隆了20次。
“不幸的是,這並不令人驚訝,”馬爾科姆談到他去年秋天偶然發現的這次駭客攻擊時說。這種惡作劇越來越普遍。在烏克蘭戰爭開始時,駭客篡改了俄羅斯莫斯科-聖彼得堡高速公路沿線的充電站,用反普京資訊迎接使用者。大約在同一時間,英國的網路破壞者對公共充電器進行程式設計,播放色情內容。就在今年,YouTube頻道The Kilowatts的主持人釋出了一段影片 顯示可以 控制Electrify America充電站的作業系統。
雖然到目前為止,此類入侵仍然相對無害,但網路安全專家表示,如果落入真正邪惡的壞人之手,後果將更加嚴重。隨著公司、政府和消費者競相安裝更多充電器,風險只會增加。
近年來,安全研究人員和白帽駭客已經發現了網際網路連線的家用和公共充電硬體中存在的大量漏洞,這些漏洞可能會洩露客戶資料、損害Wi-Fi網路,並且在最壞的情況下,可能會癱瘓電網。鑑於這些危險,從裝置製造商到拜登政府的每個人都在爭先恐後地加強這些日益普及的機器,並建立安全標準。
“這是一個主要問題,”桑迪亞國家實驗室的網路安全研究員傑伊·約翰遜說。“如果我們不把這件事做好,對這個國家來說,這可能是一個非常災難性的局面。”
電動汽車充電器安全中的漏洞並不難找到。約翰遜和他的同事在去年秋天發表在《Energies》雜誌上的一篇論文中總結了已知的缺點。他們發現,從駭客可能能夠跟蹤使用者,到可能“將家庭和企業[Wi-Fi]網路暴露於漏洞”的漏洞,應有盡有。康考迪亞大學領導的另一項研究,去年發表在 《計算機與安全》雜誌上,強調了十幾種“嚴重漏洞”,包括遠端開啟和關閉充電器的能力以及部署惡意軟體。
當英國安全研究公司Pen Test Partners花費18個月時間分析七款流行的電動汽車充電器 型號時,發現其中五款存在嚴重缺陷。例如,它在流行的ChargePoint網路中發現了一個軟體漏洞,駭客可能會利用該漏洞獲取敏感的使用者資訊(該團隊在獲取此類資料之前停止了挖掘)。英國Project EV 公司銷售的一款充電器允許研究人員覆蓋其韌體。
Pen Test Partners的聯合創始人肯·芒羅表示,這些漏洞可能使駭客能夠訪問車輛資料或消費者的信用卡資訊。但他認為,最令人擔憂的弱點或許是,與康考迪亞的測試一樣,他的團隊發現,許多裝置允許駭客隨意停止或開始充電。這可能會讓沮喪的司機在需要滿電時電量不足,但累積的影響可能是真正具有破壞性的。
“這不僅僅是你的充電器的問題,而是所有人的充電器同時出現的問題,”他說。許多家庭使用者即使不充電,也會將汽車連線到充電器。例如,他們可能會在下班後插入充電器,並安排車輛在夜間價格較低時充電。如果駭客同時開啟或關閉成千上萬甚至數百萬個充電器,可能會破壞甚至癱瘓整個電網。
“我們無意中創造了一種民族國家可以用來對抗我們電網的武器,”芒羅說。美國在2021年瞥見了這種攻擊的樣子,當時駭客劫持了殖民管道,擾亂了全國範圍內的汽油供應。一旦該公司支付了數百萬美元的贖金,攻擊就結束了。
芒羅給消費者的首要建議是不將家用充電器連線到網際網路,這應該可以防止大多數漏洞被利用。然而,大部分安全措施必須來自制造商。
電子前沿基金會(一家數字權利非營利組織)的高階職員技術專家雅各布·霍夫曼-安德魯斯說:“提供這些服務的公司有責任確保它們的安全。”“在某種程度上,你必須信任你插入的裝置。”
Electrify America拒絕了採訪請求。關於馬爾科姆和The Kilowatts記錄的問題,發言人奧克塔維奧·納瓦羅在一封電子郵件中寫道,這些事件是孤立的,並且很快部署了修復程式。該公司在一份宣告中表示:“Electrify America不斷監控和加強措施,以保護我們自己和我們的客戶,並將重點放在降低充電站和網路設計風險上。”
Pen Test Partners在其調查結果中寫道,公司總體上對修復其發現的漏洞反應迅速,ChargePoint和其他公司在不到24小時內就填補了漏洞(儘管一家公司在試圖修補舊漏洞時建立了一個新漏洞)。Project EV沒有回應Pen Test Partners,但最終實施了“強大的身份驗證和授權”。然而,專家們認為,行業早就應該超越這種“打地鼠”式的網路安全方法了。
約翰遜說:“每個人都知道這是一個問題,很多人都在試圖找出最佳解決方案,”他補充說,他已經看到了進展。例如,許多公共電動汽車充電站已升級到更安全的資料傳輸方法。但是,至於一套協調的標準,他說,“目前還沒有太多的監管措施。”
朝著改變這種狀況的方向已經取得了一些進展。《2021年兩黨基礎設施法》包括約75億美元 用於擴大美國各地的電動汽車充電網路,拜登政府已將網路安全納入該計劃的一部分。去年秋天,白宮召集了製造商和政策制定者,討論如何確保日益重要的電動汽車充電硬體得到適當的保護。
白宮國家網路總監辦公室首席戰略家哈里·克雷薩說:“我們的關鍵基礎設施需要達到基本的安全和彈性水平。”他還認為,加強電動汽車網路安全與降低風險同樣重要,也是為了建立信任。他說,安全的系統“使我們對下一代數字基礎充滿信心,從而比我們原本可能達到的目標更高。”
今年早些時候,聯邦公路管理局最終確定了一項規則,要求各州對根據基礎設施法資助的充電器實施“適當的”網路安全策略。但約翰遜表示,該法規遺漏了在該擴張之外安裝的裝置,更不用說全國範圍內已經安裝的超過10萬臺裝置了。此外,他說,各州尚未提供關於他們將採取什麼措施的太多細節。“如果你深入研究各州的計劃,你會發現它們實際上在網路要求方面非常薄弱,”他說。“我看到的大部分都只是說他們將遵循最佳實踐。”
究竟什麼是最佳實踐仍然沒有明確的定義。約翰遜和他在桑迪亞的同事釋出了針對充電器製造商的建議,他指出,國家標準與技術研究院正在開發一個快速充電框架,這可能有助於塑造未來的監管。但是,最終,他希望看到類似於2022年《保護和變革網路醫療保健法案》 的法案,該法案是專門針對電動汽車的。
他說:“監管是推動整個行業提高其基本安全標準的一種方式,”他指出其他國家的最新法律可以作為美國政策制定者的榜樣或起點。例如,去年,英國推出了一系列針對電動汽車充電器的要求,例如增強的加密和身份驗證標準、篡改檢測警報以及隨機延遲功能。
後者意味著充電器必須能夠以最多10分鐘的隨機時間延遲開啟和關閉。這將減輕一個區域內的所有充電器在斷電或駭客攻擊後同時上線的影響。“你不會遇到那種尖峰,這很棒,”芒羅說。“它消除了來自電網的威脅。”
約翰遜對行業正朝著正確的方向前進感到樂觀,儘管速度比理想情況要慢。“我無法想象[更嚴格的標準]不會發生。只是需要很長時間,”他說。他當然不想引起不必要的恐慌,而是為改進施加持續的壓力。
“這很可怕,”他說,“但這不應該是危言聳聽。”