就在各国政府纷纷祭出补贴或优惠措施以推动电动汽车之际,家用的电动汽车充电器也成为热门商品,然而,卡巴斯基实验室( Kaspersky Lab)上周发布一报告,指出由ChargePoint所打造的ChargePoint Home充电器含有众多安全漏洞,将允许黑客掌控该设备,包括让它无法充电,甚至是酿成火灾。
市场上已存在许多电动汽车充电器供应商,诸如知名的ABB、GE,或是其它小型企业,也有不少企业以“远程控制充电程序”作为产品营销口号,允许用户利用手机上的移动程序来控制充电器,只是这类联网的充电器也更容易成为黑客下手的目标,卡巴斯基即选中ChargePoint Home进行分析。
ChargePoint Home设备上含有一个激活了通用网关接口(Common Gateway Interface,CGI)的网页服务器。研究人员发现,CGI的众多程序中含有一系列的安全漏洞,可被黑客用来接管设备,其中有两个漏洞藏匿在用来将文件上传到设备上不同文件夹的程序,而不管是发送命令到充电器的程序,或者是用来下载系统纪录的程序都含有堆栈缓冲区溢出(stack buffer overflow)漏洞。
上述所有的漏洞都将允许黑客借由链接攻击目标的Wi-Fi网络来控制充电程序。
于是黑客将可调整充电时的最大电流,暂时关闭用户家中电力系统的某些部分,当设备的链接不正确时,可能因电线过热而酿成火灾;也能随时中止汽车的充电程序,限制汽车可行驶的距离,而造成经济上的损失。
ChargePoint在接获卡巴斯基的研究报告之后已修补了相关漏洞,研究人员则认为,企业应该好好思考在充电器上提供无线接口的必要性,因为它所带来的安全风险往往超越了优点。