特斯拉充電設(shè)備被攻破兩次,Akamai專家談充電設(shè)備安全性保障

2月21日消息,在2025年1月22日至24日舉行的Pwn2Own汽車黑客競(jìng)賽的第二天,參賽者兩次成功入侵特斯拉的Wall Connector電動(dòng)汽車充電設(shè)備,獲得了95,000美元的現(xiàn)金獎(jiǎng)勵(lì)。

在這場(chǎng)大賽中,除了特斯拉充電設(shè)備外,競(jìng)賽人員還成功攻擊了WOLFBOX、ChargePoint Home Flex、Autel MaxiCharger等品牌的充電設(shè)備。

隨著電動(dòng)汽車銷量的持續(xù)攀升,全球電動(dòng)汽車充電設(shè)備市場(chǎng)正步入爆炸性增長(zhǎng)階段,根據(jù)QYResearch的調(diào)研數(shù)據(jù),預(yù)計(jì)2030年全球電動(dòng)汽車充電設(shè)備市場(chǎng)規(guī)模將達(dá)到179.2億美元。

與此同時(shí),如同黑客競(jìng)賽展示的情況,規(guī)模龐大的電動(dòng)汽車充電站作為物聯(lián)網(wǎng)(IoT)的關(guān)鍵組成部分,面臨著嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)。

不僅是電動(dòng)車充電設(shè)備,汽車行業(yè)的API安全問題同樣面臨挑戰(zhàn)。

Bleeping Computer數(shù)據(jù)顯示,2023年有近20家汽車制造商和服務(wù)提供商存在API安全漏洞,這些漏洞使黑客能夠遠(yuǎn)程解鎖和啟動(dòng)車輛、追蹤車輛位置,并竊取車主的個(gè)人信息。此外,一些電動(dòng)汽車充電站平臺(tái)被發(fā)現(xiàn)存在API授權(quán)問題,使得賬戶被接管并遠(yuǎn)程控制所有充電站。黑客可以劫持用戶賬戶、中斷充電服務(wù),甚至將充電站編程為“后門”,從而攻破用戶的家庭網(wǎng)絡(luò)。

據(jù)媒體報(bào)道,2024年,一家韓國(guó)汽車制造商則因 API 身份驗(yàn)證缺陷暴露了數(shù)百萬(wàn)輛汽車,允許攻擊者通過車牌信息遠(yuǎn)程解鎖車門、啟動(dòng)引擎并追蹤車輛。

Akamai資深解決方案技術(shù)經(jīng)理馬俊表示:“IoT設(shè)備特別容易受到硬件和軟件漏洞的影響,而許多傳統(tǒng)的OT系統(tǒng)在設(shè)計(jì)時(shí)并未考慮到聯(lián)網(wǎng)的安全需求。如果單一節(jié)點(diǎn)被攻破并繞過,可能會(huì)進(jìn)一步滲透整個(gè)充電網(wǎng)絡(luò),導(dǎo)致更為嚴(yán)重的后果和風(fēng)險(xiǎn)?!?/p>

馬俊指出,在網(wǎng)絡(luò)訪問控制中應(yīng)用“零信任”模型對(duì)如此關(guān)鍵的充電網(wǎng)絡(luò)來說尤為重要。它能夠確保只有經(jīng)過驗(yàn)證和授權(quán)的設(shè)備才能訪問網(wǎng)絡(luò)資源,同時(shí)實(shí)現(xiàn)對(duì)所有連接OT設(shè)備的實(shí)時(shí)監(jiān)控與識(shí)別。通過實(shí)施細(xì)粒度的分段控制,不僅可以有效限制設(shè)備之間的通信,還能持續(xù)監(jiān)測(cè)網(wǎng)絡(luò)流量,從而保護(hù)關(guān)鍵基礎(chǔ)設(shè)施并滿足合規(guī)性要求。這樣能夠顯著提升OT設(shè)備的網(wǎng)絡(luò)安全性,降低了潛在風(fēng)險(xiǎn),并確保了業(yè)務(wù)的連續(xù)性。

Akamai亞太地區(qū)和日本安全技術(shù)總監(jiān)Reuben Koh則強(qiáng)調(diào):“隨著 API 在汽車行業(yè)中的應(yīng)用不斷擴(kuò)大,其安全性已經(jīng)從技術(shù)問題轉(zhuǎn)變?yōu)殛P(guān)系到用戶隱私、生命安全和企業(yè)品牌聲譽(yù)的核心挑戰(zhàn)。汽車制造商必須立即行動(dòng)起來,系統(tǒng)性地提升 API 的開發(fā)、測(cè)試和管理水平,確保技術(shù)進(jìn)步不會(huì)以犧牲用戶安全為代價(jià)。”

保護(hù)API安全需要多方面的措施,Reuben建議企業(yè)可以重點(diǎn)關(guān)注以下三個(gè)關(guān)鍵領(lǐng)域:

一、可見性。確保全面了解所有API,包括其用途、端點(diǎn)和潛在風(fēng)險(xiǎn)。定期審計(jì)和監(jiān)控API活動(dòng),避免將遺留或未監(jiān)控的接口暴露給公眾。

二、漏洞管理。遵循安全開發(fā)實(shí)踐,定期進(jìn)行漏洞掃描和代碼審查,并及時(shí)修補(bǔ)已知漏洞。最小化攻擊面是防止漏洞被利用的關(guān)鍵。

三、業(yè)務(wù)邏輯保護(hù)。建立明確的業(yè)務(wù)邏輯基線,監(jiān)控異常行為,并防止針對(duì)業(yè)務(wù)邏輯的復(fù)雜攻擊,以保護(hù)關(guān)鍵數(shù)據(jù)和功能。

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2025-02-21
特斯拉充電設(shè)備被攻破兩次,Akamai專家談充電設(shè)備安全性保障
在這場(chǎng)大賽中,除了特斯拉充電設(shè)備外,競(jìng)賽人員還成功攻擊了WOLFBOX、ChargePoint Home Flex、Autel MaxiCharger等品牌的充電設(shè)備。隨著電動(dòng)汽車銷量的持續(xù)攀升,全球電動(dòng)汽車充電設(shè)備市場(chǎng)正步入爆炸性增長(zhǎng)階段,根據(jù)QYResearch的調(diào)研數(shù)據(jù),預(yù)計(jì)2030年全球電動(dòng)汽車充電設(shè)備市場(chǎng)規(guī)模將達(dá)到179.2億美元。不僅是電動(dòng)車充電設(shè)備,汽車行業(yè)的API安全問題同樣面臨挑戰(zhàn)。此外,一些電動(dòng)汽車充電站平臺(tái)被發(fā)現(xiàn)存在API授權(quán)問題,使得賬戶被接管并遠(yuǎn)程控制所有充電站。

長(zhǎng)按掃碼 閱讀全文