电动汽车充电桩攻击面解析 2024 Pwn2Own Automotive目标 ChargePoint Home Flex

前言

“ChargePoint Home Flex是一款电动汽车充电桩，专为用户在家中使用而设计。该设备在其硬件中具有最小的用户界面，采用移动的应用程序来安装和消费。ChargePoint Home Flex为Pwn2Own Automotive电动车辆充电桩类别目标，我们将审查他的攻击面”

ChargePoint Home Flex攻击面摘要

一般来说，该设备的攻击面可分为三类。

1.ChargePoint移动的应用程序
电工在安装ChargePoint Home Flex设备时使用的ServicePro应用程序提供了一种攻击途径。最终用户在配置和使用ChargePoint Home Flex时使用的ChargePoint应用程序也提供了攻击面。

2.ChargePoint Home Flex硬件

该设备包括一个嵌入式Linux主机，通过Wi-Fi与互联网上的主机通信。该单元还包含一个基于Texas Instruments MSP430微控制器的PCB。无线通信PCB基于Atmel CPU。最后，JTAG接口可通过无线通信PCB访问。

3.网络攻击面

该设备的软件补丁通过基于互联网的空中（OTA）更新提供。移动的应用程序用于本地通信的蓝牙低功耗（BLE）端点可能会提供攻击机会。与本地接入点的任何Wi-Fi通信都为拦截和操纵提供了机会。最后，该器件实现开放充电点协议（OCPP）。本方案中的任何缺陷将由充电器继承。

优先安全研究

ChargePoint Home Flex是卡巴斯基实验室研究员Dmitry Skylar进行的安全评估的主题。这项审查于2018年进行，结果发表在一篇论文中，并在一些安全会议上发表。幻灯片可以在这里找到。

ChargePoint Home Flex移动应用

ChargePoint分发了两个与Home Flex充电一起使用的应用程序。这两个应用程序都通过低功耗蓝牙（BLE）与ChargePoint Home Flex进行交互。

ChargePoint ServicePro应用程序预期供电工在为用户安装设备时使用。这个应用程序使用React Native应用程序开发框架编写。这是一个基于JavaScript的开发框架，用于跨平台的移动的应用程序开发。

以消费者为中心的ChargePoint移动的应用程序旨在供用户用于管理其充电偏好。

虽然我们没有彻底调查这些应用程序的漏洞或其他错误，但移动应用程序中的问题在过去已被威胁行为者利用，并代表了一个重要的攻击面。即使移动应用程序本身超出了Pwn2Own汽车竞赛的范围，它们仍然应该由研究界进行彻底的审查。

ChargePoint Home Flex低功耗蓝牙

ChargePoint Home Flex使用低功耗蓝牙与移动应用程序进行通信。趋势科技的研究人员使用自定义BLE扫描工具来枚举充电桩提供的端点。

BLE规范中定义了以下服务：

- BLE Service Device Information 服务 设备 信息
    - 系统 ID ： 
    - 型号 字符 串 ：CPH 50
    - Serial Number String ： 
    - 软件 修订 字符 串 ：5.5.2.5

研究人员在扫描被测设备（DUT）时观察到以下BLE服务和特征： 

- 设备详细信息服务274 BC 3A 3 - 1A 52 - 4D 30 - 99 C 0 - 4DE 08 FFF 2358
    - 获取/设置电源类型：特征8D 4D 6AF 5-E562- 4DC 7 - 85 AD-842 FBF 321 C87
    - 获取/设置PowerSourceAmps：Characteristic F24 F7 C35-A5 FD-4 B 98-BCA 5 - 50 BB 5DC 8 E7 CD
    - 获取/设置应用设置状态 ：特征5597 DD 46 - 7 EDD-40 CC-9904-B6934 DC 05 E19
    - 获取/设置用户ID ：特征E79 C86 D4 -8106-4908-B602- 5 B61266 B2116
    - 获取/设置Latitude ：Characteristic 85 F296 FC-3152- 4 EF 0 - 84 CB-FAB 8D 05432 E4
    - 获取/设置经度 ：特征9253 A155 - 701 A-4582-A0 CF-5E 517 E553586
    - 获取/设置NOSStatus ：Characteristic C31 D51 E5-BD 61 - 4D 09 - 95 E2-C 0 E34 ED 1224 C
    - 获取/设置电源：Characteristic C1972 E92 - 0 D 07 -4464-B312-E60 BA 5 F284 FC

- WIFI服务DFAF 46 E7 - 04 F9 - 471 C-8438-A72612619 BE 9
    - 获取/设置下一个WIFI点：Characteristic E5 DEBB 4 B-4DAC-4609-A533-B628 E5797 E91
    - Get/Set CurrentSSID：Characteristic EB61F605-DED9-4975-9235-0A5FF4941F32
    - 获取/设置WIFI安全类型：特征733 ED 10A-CD 1B-43 CA-A0 C2 - 6864 C8 DCF 7 C1
    - 获取/设置WiFi配置：Characteristic 25 A03 F00 - 1AF 2 - 44 F0 - 80 F2-D 6 F771458 BB 9
    - Get/Set ApplyStatusCode：Characteristic 3BE83845-93E4-461E-8A49-7370F790EBC4
    - Get/Set Always Empty Response Characteristic：Characteristic CED647D7-E261-41E2-8F0D-35C360AAE269

- 未知服务B67 CB 923 - 50 E4 - 41 E8-BECC-9ACD 24776887 B67 CB 923 - 50 E4 - 41 E8-BECC-9ACD 24776887
    - Get/Set Always NULL Byte Characteristic：Characteristic 7AC61302-58AB-47BA-B8AA-30094DB0B9A1

趋势科技的研究人员使用定制的BLE扫描仪对这些BLE端点进行了有限的探测。此外，Trend研究人员还对用户ChargePoint应用程序进行了逆向工程。上面清单中的名称是根据对Android应用程序代码的理解推断出来的。

ChargePoint Home Flex硬件详情

ChargePoint Home Flex在设备外壳内包含两块电路板。这些板是计量板和CPU板。

计量板上有一个MSP430微控制器。它终止了来自电源的电力连接，也终止了最终用户连接到电动汽车的充电电缆。计量板还通过计量板右上方的堆叠式PCB连接器向CPU板供电。计量板在PCB丝网印刷标记上标有标识符Panda AC 50。它拥有一个MSP430微控制器。

CPU板承载ATMEL Arm CPU、Wi-Fi无线电和蓝牙LE无线电。CPU板在PCB丝印标记上标有CPH-50 CPU。

以下是ChargePoint Home Flex Metrology板和CPU板的一些详细图片：

图4 -ChargePoint Home Flex计量板背面

ChargePoint Home Flex嵌入式Linux

卡巴斯基实验室此前的研究表明，该充电桩使用的是Linux操作系统。充电器硬件有一个被标识为“熊猫CPU”的板，它实现了充电器上所有可访问的攻击表面。硬件包括ARM CPU，并且设备提供JTAG调试头。之前的研究表明，这个JTAG头可以用来获得外壳访问充电器。

在对充电桩进行初步评估期间，趋势科技的研究人员使用了一个捕获测试网络来询问ChargePoint Home Flex。测试网络有一个Wi-Fi接入点，该接入点连接到一个网络，该网络运行一组服务，这些服务被配置为模拟充电器所需的服务。该网络具有配置为响应所有DNS A记录查询的DNS服务器，该DNS A记录查询具有来自测试网络内的IP地址。

在测试过程中，研究人员观察了DUT进行的DNS查询，并使用它试图连接的所有观察到的主机名配置DNS服务器。此外，测试网络包括被配置为响应DUT发出的网络请求的网络服务器。DUT已向以下域发出DNS请求：

ba79k2rx5jru.chargepoint.comhomecharger.chargepoint.compublish.chargepoint.com

研究人员指出，由于TLS证书颁发机构不匹配，无法建立与Web服务器的TLS连接。TLS证书颁发机构匹配的实施是一个安全优势。

ChargePoint Home Flex通过SSH连接到TCP端口343上的服务器ba79k2rx5jru.chargepoint.com。研究网络包括一个许可的SSH服务器，允许对任何用户进行身份验证。当充电器启动到测试网络中的许可SSH服务器的连接时，研究人员注意到DUT的SSH客户端启动了一个TCP端口，从SSH服务器转发到充电器上的TCP端口23。这与卡巴斯基研究报告中指出的结果相符。

总结

虽然这些可能不是ChargePoint Home Flex设备上唯一可用的攻击面，但它们代表了威胁行为者可能用来利用该设备的最有可能的途径。ChargePoint致力于提供在Pwn2Own汽车竞赛期间使用的硬件。

原文始发于微信公众号（安全脉脉）：电动汽车充电桩攻击面解析 -- 2024 Pwn2Own Automotive目标 ChargePoint Home Flex