新能源汽車充電系統(tǒng)曝安全漏洞，可偽造身份驗(yàn)證竊取數(shù)據(jù)

【新能源汽車充電系統(tǒng)曝安全漏洞，可偽造身份驗(yàn)證竊取數(shù)據(jù)】：最近的網(wǎng)絡(luò)安全研究中發(fā)現(xiàn)，在多個(gè)電動(dòng)汽車 充電系統(tǒng)中發(fā)現(xiàn)的 2 個(gè)新的安全漏洞可被利用來遠(yuǎn)程關(guān)閉充電站，甚至可以實(shí)現(xiàn)數(shù)據(jù)竊取和偷電的攻擊。安全研究人員表示，OCPP 標(biāo)準(zhǔn)沒有定義 CSMS 充電站管理系統(tǒng)應(yīng)該如何在已經(jīng)存在活躍連接的情況下接受來自充電點(diǎn)的新連接。攻擊者可能會(huì)利用缺乏針對多個(gè)活動(dòng)連接的明確指南來破壞和劫持充電點(diǎn)與 CSMS 充電站管理系統(tǒng)之間的連接。由于 CSMS 充電站管理系統(tǒng)提供商被配置為僅依賴充電點(diǎn)身份進(jìn)行身份驗(yàn)證，因此使得偽造成為可能。OCPP 2.0.1 標(biāo)準(zhǔn)通過要求充電點(diǎn)憑據(jù)來修復(fù)弱身份驗(yàn)證策略，從而堵住了漏洞。