当前位置: 首页 » 资讯 » 产业资讯 » 正文

腾讯安全团队用树莓派攻破电动车充电桩支付系统,警告应加强电动汽车基础设施安全

放大字体  缩小字体 发布日期:2021-05-12 来源:安全牛浏览次数:386
在近日举行的BlackHat Asia亚洲黑帽大会上,腾讯安全团队Tencent Blade Team演示了如何使用树莓派攻击电动汽车直流充电桩的“无感支付”漏洞,攻击者还能改变充电电压和电流,这种行为有可能会损坏电动汽车。
 
树莓派

Tencent Blade Team由腾讯安全平台部成立,专注于人工智能、物联网、移动互联网、云虚拟化、区块链等前沿技术领域的安全研究,目前已向Apple、Amazon、Google、Microsoft、Adobe等诸多国际知名公司报告了200多个安全漏洞。
 
Tencent Blade Team表示:“充电站的建设在全世界范围内都在加速,但是对电动汽车基础设施安全性的研究很少。”
 
吴汇宇(音译)和李宇翔研究员通过一种名为“ XCharger”的安全测试工具,对五辆租用的不同型号的电动汽车进行了攻击,证明该工具可以捕获、修改、重放和模糊充电桩之间的通信数据包。XCharger使用Raspberry Pi或STM 32微控制器,可插入充电桩和电动汽车之间实施中间人攻击。
 
近年来,充电站正朝着自动付款(无感支付)的方向发展。一些汽车公司使用自己的身份验证和通信协议,而另一些汽车公司则依靠不安全的VIN号码,后者可以通过汽车挡风玻璃以明文形式(从字面上看)看到。
 
为了侵入这些系统,腾讯团队使用了CANtools软件,该软件可以观察和解释在控制器局域网(CAN总线)上发送的用于连接汽车中设备的消息。CANtools允许研究人员读取在充电过程中生成的消息,编写自己的消息,绕过身份验证实现盗刷(免费充电)。
 
在另一场演讲中,印度安全咨询公司Amynasec Labs的实习生Kartheek Lade用加密通信服务Telegram发送的消息破解了一辆汽车,并通过互联网对其进行了控制。
 
Lade使用软件工具CANalyse分析日志文件以查找唯一的数据集。该工具可以连接到简单的攻击者接口(例如Telegram),并且可以安装在Raspberry Pi中以利用车辆来控制某些功能。
 
Lade演示了一次攻击,通过Telegram消息控制了车辆的某些功能。Lade表示,他可以用这种方式发送命令使汽车“变砖”。他还警告其他人,未经必要的许可,请勿自行尝试攻击。
 
参考资料
 
https://github.com/eerimoq/cantools
 
https://github.com/KartheekLade/CANalyse
 
【版权声明】本网站所刊原创内容之著作权为「中国半导体照明网」网站所有,如需转载,请注明文章来源——中国半导体照明网;如未正确注明文章来源,任何人不得以任何形式重制、复制、转载、散布、引用、变更、播送或出版该内容之全部或局部。
 
[ 资讯搜索 ]  [ 加入收藏 ]  [ 告诉好友 ]  [ 打印本文 ]  [ 关闭窗口 ]

 
0条 [查看全部]  相关评论

 
关于我们 | 联系方式 | 使用协议 | 版权隐私 | 诚聘英才 | 广告服务 | 意见反馈 | 网站地图 | RSS订阅