【安全圈】Blade Team发现国内首个充电桩行业安全漏洞,已报告相关厂商

  • A+
所属分类:安全新闻

【安全圈】Blade Team发现国内首个充电桩行业安全漏洞,已报告相关厂商

关键词

Blade Team、新能源汽车


10月24日,一年一度的“白帽黑客”对决盛会GeekPwn2020国际安全极客大赛在上海落下帷幕,来自腾讯的参赛队伍Blade Team亮相赛场,并成功实现了对“无感支付”式直流充电桩的漏洞攻击演示。


在比赛中,‌Blade Team安全研究员模拟攻击者身份,仅需获得模拟受害者的车辆身份标识,并使用特殊设备连接“无感支付”直流充电桩与汽车,就能利用充电桩通信协议漏洞,轻松完成“盗刷”操作。


【安全圈】Blade Team发现国内首个充电桩行业安全漏洞,已报告相关厂商


“目前新能源汽车的车辆身份标识多存在于车身外部,属于公开信息,也有很多黑产渠道会贩卖这类车辆数据,这种方法一旦被黑产掌握,有被大规模恶意利用的风险。”Blade Team高级安全研究员Nicky介绍道。


此次Blade Team发现的漏洞是国内首个充电桩行业安全漏洞,影响面大、修复难度高,对于行业健康发展具有很强的风险提示价值。


当前,我国新能源汽车行业正蓬勃发展,充电桩作为新基建的重点领域之一,同时也是新能源汽车最重要的基础设施,其安全性不容小视。


而即插即充、无感支付更是当前充电桩行业的主流发展趋势,采用“无感支付”技术的充电桩仅需在初次绑定环节对用户进行身份认证,充电时即可自动识别车辆身份标识,在充电完成后从绑定账户中进行相应扣款。


作为腾讯安全平台部一支专注前沿技术领域安全的研究团队,Blade Team率先关注到充电桩行业的安全研究空白,并凭借此前在物联网、硬件等技术领域的积累,展开对“无感支付”式充电桩的深入研究。


据了解,此次发现的漏洞属于充电通信协议层面缺陷,采用相同技术方案的“无感支付”式直流充电桩均受其影响。目前腾讯Blade Team已通过GeekPwn官方向相关厂商提交漏洞细节,并将协助厂商进行修复。


对于新能源汽车的普通用户,Blade Team研究员也表示无需过度恐慌,该攻击的实现需要专业知识和专用设备,真正利用漏洞有一定门槛。在厂商修复该漏洞前,尽量选择传统的二维码扫码等充电支付方式,即可规避不利影响。


   END  


推荐阅读

白帽黑客攻破 4G 基站,获取 LTE 通信设备控制权限

【安全圈】Blade Team发现国内首个充电桩行业安全漏洞,已报告相关厂商

当黑客窃取你的“心跳”时,生物数据安全何去何从

【安全圈】Blade Team发现国内首个充电桩行业安全漏洞,已报告相关厂商

科普:常说的黑客守则到底有哪些?

【安全圈】Blade Team发现国内首个充电桩行业安全漏洞,已报告相关厂商
【安全圈】Blade Team发现国内首个充电桩行业安全漏洞,已报告相关厂商
【安全圈】Blade Team发现国内首个充电桩行业安全漏洞,已报告相关厂商

安全圈

【安全圈】Blade Team发现国内首个充电桩行业安全漏洞,已报告相关厂商

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

【安全圈】Blade Team发现国内首个充电桩行业安全漏洞,已报告相关厂商

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!

【安全圈】Blade Team发现国内首个充电桩行业安全漏洞,已报告相关厂商

本文始发于微信公众号(安全圈):【安全圈】Blade Team发现国内首个充电桩行业安全漏洞,已报告相关厂商

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: