这个故事最初由 Grist, 一个报道气候、正义和解决方案的非营利媒体组织发布。
这个故事与 WIRED. 共同发布。
由于他的起亚EV6电动汽车电量不足,斯凯·马尔科姆驶入印第安纳州特雷霍特附近的一排快速充电器,准备充电。当他的汽车开始充电时,他瞥了一眼附近的充电器。其中一个特别显眼。
关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您将有助于确保有关塑造我们今天世界的发现和想法的具有影响力的故事的未来。
与其他Electrify America装置上显示的商业化欢迎界面不同,这个装置上显示了一张 拜登总统指着手指的照片,并配有“我做到了!”的标题。这与总统的批评者去年在汽油价格飙升时开始贴在加油泵上的模因相同,并在屏幕上克隆了20次。
“不幸的是,这并不令人惊讶,”马尔科姆谈到他去年秋天偶然发现的这次黑客攻击时说。这种恶作剧越来越普遍。在乌克兰战争开始时,黑客篡改了俄罗斯莫斯科-圣彼得堡高速公路沿线的充电站,用反普京信息迎接用户。大约在同一时间,英国的网络破坏者对公共充电器进行编程,播放色情内容。就在今年,YouTube频道The Kilowatts的主持人发布了一段视频 显示可以 控制Electrify America充电站的操作系统。
虽然到目前为止,此类入侵仍然相对无害,但网络安全专家表示,如果落入真正邪恶的坏人之手,后果将更加严重。随着公司、政府和消费者竞相安装更多充电器,风险只会增加。
近年来,安全研究人员和白帽黑客已经发现了互联网连接的家用和公共充电硬件中存在的大量漏洞,这些漏洞可能会泄露客户数据、损害Wi-Fi网络,并且在最坏的情况下,可能会瘫痪电网。鉴于这些危险,从设备制造商到拜登政府的每个人都在争先恐后地加强这些日益普及的机器,并建立安全标准。
“这是一个主要问题,”桑迪亚国家实验室的网络安全研究员杰伊·约翰逊说。“如果我们不把这件事做好,对这个国家来说,这可能是一个非常灾难性的局面。”
电动汽车充电器安全中的漏洞并不难找到。约翰逊和他的同事在去年秋天发表在《Energies》杂志上的一篇论文中总结了已知的缺点。他们发现,从黑客可能能够跟踪用户,到可能“将家庭和企业[Wi-Fi]网络暴露于漏洞”的漏洞,应有尽有。康考迪亚大学领导的另一项研究,去年发表在 《计算机与安全》杂志上,强调了十几种“严重漏洞”,包括远程打开和关闭充电器的能力以及部署恶意软件。
当英国安全研究公司Pen Test Partners花费18个月时间分析七款流行的电动汽车充电器 型号时,发现其中五款存在严重缺陷。例如,它在流行的ChargePoint网络中发现了一个软件漏洞,黑客可能会利用该漏洞获取敏感的用户信息(该团队在获取此类数据之前停止了挖掘)。英国Project EV 公司销售的一款充电器允许研究人员覆盖其固件。
Pen Test Partners的联合创始人肯·芒罗表示,这些漏洞可能使黑客能够访问车辆数据或消费者的信用卡信息。但他认为,最令人担忧的弱点或许是,与康考迪亚的测试一样,他的团队发现,许多设备允许黑客随意停止或开始充电。这可能会让沮丧的司机在需要满电时电量不足,但累积的影响可能是真正具有破坏性的。
“这不仅仅是你的充电器的问题,而是所有人的充电器同时出现的问题,”他说。许多家庭用户即使不充电,也会将汽车连接到充电器。例如,他们可能会在下班后插入充电器,并安排车辆在夜间价格较低时充电。如果黑客同时打开或关闭成千上万甚至数百万个充电器,可能会破坏甚至瘫痪整个电网。
“我们无意中创造了一种民族国家可以用来对抗我们电网的武器,”芒罗说。美国在2021年瞥见了这种攻击的样子,当时黑客劫持了殖民管道,扰乱了全国范围内的汽油供应。一旦该公司支付了数百万美元的赎金,攻击就结束了。
芒罗给消费者的首要建议是不将家用充电器连接到互联网,这应该可以防止大多数漏洞被利用。然而,大部分安全措施必须来自制造商。
电子前沿基金会(一家数字权利非营利组织)的高级职员技术专家雅各布·霍夫曼-安德鲁斯说:“提供这些服务的公司有责任确保它们的安全。”“在某种程度上,你必须信任你插入的设备。”
Electrify America拒绝了采访请求。关于马尔科姆和The Kilowatts记录的问题,发言人奥克塔维奥·纳瓦罗在一封电子邮件中写道,这些事件是孤立的,并且很快部署了修复程序。该公司在一份声明中表示:“Electrify America不断监控和加强措施,以保护我们自己和我们的客户,并将重点放在降低充电站和网络设计风险上。”
Pen Test Partners在其调查结果中写道,公司总体上对修复其发现的漏洞反应迅速,ChargePoint和其他公司在不到24小时内就填补了漏洞(尽管一家公司在试图修补旧漏洞时创建了一个新漏洞)。Project EV没有回应Pen Test Partners,但最终实施了“强大的身份验证和授权”。然而,专家们认为,行业早就应该超越这种“打地鼠”式的网络安全方法了。
约翰逊说:“每个人都知道这是一个问题,很多人都在试图找出最佳解决方案,”他补充说,他已经看到了进展。例如,许多公共电动汽车充电站已升级到更安全的数据传输方法。但是,至于一套协调的标准,他说,“目前还没有太多的监管措施。”
朝着改变这种状况的方向已经取得了一些进展。《2021年两党基础设施法》包括约75亿美元 用于扩大美国各地的电动汽车充电网络,拜登政府已将网络安全纳入该计划的一部分。去年秋天,白宫召集了制造商和政策制定者,讨论如何确保日益重要的电动汽车充电硬件得到适当的保护。
白宫国家网络总监办公室首席战略家哈里·克雷萨说:“我们的关键基础设施需要达到基本的安全和弹性水平。”他还认为,加强电动汽车网络安全与降低风险同样重要,也是为了建立信任。他说,安全的系统“使我们对下一代数字基础充满信心,从而比我们原本可能达到的目标更高。”
今年早些时候,联邦公路管理局最终确定了一项规则,要求各州对根据基础设施法资助的充电器实施“适当的”网络安全策略。但约翰逊表示,该法规遗漏了在该扩张之外安装的设备,更不用说全国范围内已经安装的超过10万台设备了。此外,他说,各州尚未提供关于他们将采取什么措施的太多细节。“如果你深入研究各州的计划,你会发现它们实际上在网络要求方面非常薄弱,”他说。“我看到的大部分都只是说他们将遵循最佳实践。”
究竟什么是最佳实践仍然没有明确的定义。约翰逊和他在桑迪亚的同事发布了针对充电器制造商的建议,他指出,国家标准与技术研究院正在开发一个快速充电框架,这可能有助于塑造未来的监管。但是,最终,他希望看到类似于2022年《保护和变革网络医疗保健法案》 的法案,该法案是专门针对电动汽车的。
他说:“监管是推动整个行业提高其基本安全标准的一种方式,”他指出其他国家的最新法律可以作为美国政策制定者的榜样或起点。例如,去年,英国推出了一系列针对电动汽车充电器的要求,例如增强的加密和身份验证标准、篡改检测警报以及随机延迟功能。
后者意味着充电器必须能够以最多10分钟的随机时间延迟打开和关闭。这将减轻一个区域内的所有充电器在断电或黑客攻击后同时上线的影响。“你不会遇到那种尖峰,这很棒,”芒罗说。“它消除了来自电网的威胁。”
约翰逊对行业正朝着正确的方向前进感到乐观,尽管速度比理想情况要慢。“我无法想象[更严格的标准]不会发生。只是需要很长时间,”他说。他当然不想引起不必要的恐慌,而是为改进施加持续的压力。
“这很可怕,”他说,“但这不应该是危言耸听。”