當你對著車機發(fā)出“Hi”指令,它可以非?旖莸匾龑闱巴澈献鞒潆姌冻潆,這個操作過程正成為很多新能源汽車車主的習慣。不過,如此智慧的智能網(wǎng)聯(lián),也為充電樁帶來了新的安全漏洞。記者留意到,近一年來,不僅國外研究機構對充電樁數(shù)據(jù)安全發(fā)出了警示;在國內,上周,工信部也罕見地通報了部分充電樁平臺存在的信息被濫用等問題。
近年,隨著新能源汽車滲透率不斷提高,充電樁的需求也不斷增加,隨之而來充電樁的網(wǎng)絡安全問題日益凸顯,正引發(fā)業(yè)內高度關注。
文/圖 廣州日報全媒體記者 鄧莉
小心你的“電”會被盜刷
在2022年底上海舉辦的一場國際安全極客大賽(GeekPwn2020)上,參賽隊伍BladeTeam演示了對“無感支付”式直流充電樁的漏洞攻擊。利用電動汽車BMS與直流充電樁通信協(xié)議中的身份認證漏洞,只需獲取受害者的車架號碼,即可盜用受害者的賬戶余額,為其他車免費充電,輕松完成“盜刷”操作。這是近年充電樁信息安全漏洞的一個典型案例示范。今年2月,一家國外知名新能源網(wǎng)絡安全公司的研究人員發(fā)現(xiàn)多個電動汽車充電管理系統(tǒng)都受到漏洞的影響,可用于“分布式拒絕服務攻擊”和竊取駕駛員的敏感信息,包括支付卡數(shù)據(jù)、服務器憑據(jù)等。
充電樁服務商平臺對于以上類似的充電安全漏洞有著不可推卸的責任,但事實上,部分平臺甚至還存在“監(jiān)守自盜”的情況。今年5月6日,我國工信部通報了10家企業(yè)11款APP涉及新能源汽車充換電運營相關的平臺存在侵害用戶權益的行為,被通報對象包括云能充、小象充、E充站等微信小程序、APP。據(jù)通報,這些平臺所涉問題包括“違規(guī)收集個人信息”“強制用戶使用定向推送功能”“APP強制、頻繁、過度索取權限”等。
當前,除了充換電質量和穩(wěn)定外,用戶數(shù)據(jù)安全已經(jīng)成為充電樁面臨的首要問題。關注大數(shù)據(jù)安全解決方案的北京創(chuàng)安恒宇調研報告指出:5G、大數(shù)據(jù)、云計算、區(qū)塊鏈、人工智能等數(shù)字技術在充電樁領域廣泛應用,充電樁產(chǎn)業(yè)數(shù)字化已成為大勢所趨。但與日新月異的智慧技術脫節(jié)的是,很多充電樁服務商面對網(wǎng)絡的攻擊沒有招架之力,導致用戶數(shù)據(jù)容易被濫用和泄露。
充電服務商面臨網(wǎng)絡安全危機
萬物互聯(lián),為各類應用創(chuàng)新提供了施展的舞臺,也因此,充電樁作為電動汽車的首要接口,如今更間接變成了交通信息的收集者、傳遞者與承載者,而一旦信息泄露,后果嚴重。業(yè)內人士指出,尤其是近年即插即充、無感支付成為充電樁行業(yè)的主流發(fā)展趨勢,風險極大。BladeTeam高級安全研究員Nicky則表示,該團隊在國際安全極客大賽上演示的漏洞屬于充電通信協(xié)議層面缺陷,采用相同技術方案的“無感支付”式直流充電樁均受其影響。此漏洞影響面大、修復難度高,對于行業(yè)健康發(fā)展具有很強的風險提示價值。
新能源汽車充電安全性和可靠性正成為眾多用戶以及場站運營商重點關注的部分,目前很多傳統(tǒng)充電樁企業(yè)對網(wǎng)絡安全的防護遠遠不足。“當前的防護大多集中在新能源車輛電池安全、對充電環(huán)境主動監(jiān)測防護和充換電大數(shù)據(jù)的對比檢測上,如電池散熱、失控管理、充電樁‘快充+過充’、電芯質量等問題!敝袊浖袠I(yè)協(xié)會智能網(wǎng)聯(lián)汽車行業(yè)分會專家告訴記者,當前智能充電樁系統(tǒng)現(xiàn)有網(wǎng)絡邊緣尚未建立起完善的本地安全防護能力,無法提供對電樁終端的安全防護。如由于電樁缺少集中管理平臺,無法驗證惡意訪問來源并快速定位被攻擊智能充電樁,所以無法即時監(jiān)控和評估對平臺和用戶信息資產(chǎn)的威脅狀態(tài),并進行分析。
充電樁行業(yè)里,很早就關注并著手采用加密技術、數(shù)據(jù)隔離技術用以確保用戶信息安全的Tellus Power集團表示:數(shù)據(jù)泄露事件暴露出了在很多智能產(chǎn)品大規(guī)模投放市場的同時,并未同步建立與之匹配的數(shù)據(jù)信息安全能力,而這中間的漏洞與縫隙,正變成黑客的樂土。
充電樁不僅要“智能”還需會“防護”
作為大基建,充電站正飛速發(fā)展,業(yè)內人士指出,目前充電站需要統(tǒng)籌管理。北京創(chuàng)安恒宇相關研究人員告訴記者,充電樁或充電站存在點多、面廣、分散的特點,其端、管、云均缺少有效的安全防護機制,每個節(jié)點都容易遭到入侵,如充電樁自身的系統(tǒng)安全,與本地充電站的數(shù)據(jù)傳輸、充電站與運營平臺的數(shù)據(jù)傳輸,運營平臺的平穩(wěn)運營,用戶結算安全等多個領域均存在安全隱患。
中國信息協(xié)會信息安全專業(yè)委員會副主任李京春指出,嚴格保護用戶隱私數(shù)據(jù),平衡數(shù)據(jù)流通與泄露風險,才能使智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)健康快速發(fā)展。當前,充電運營商希望通過收集更多客戶信息獲取更多客源、更多利潤在情理之中,但若被判定為違規(guī)收集客戶個人信息、觸碰了法律,將可能得不償失。
國家智能網(wǎng)聯(lián)汽車創(chuàng)新中心信息安全部部長羅承剛指出,數(shù)據(jù)安全需從監(jiān)管、標準、管理、技術方面共同推進。
對于充電樁信息安全防御能力問題,有業(yè)內專家指出,保障用戶數(shù)據(jù)的安全,需采取多項措施。首先,在設計產(chǎn)品之初,就要充分考慮數(shù)據(jù)安全風險,并采用加密技術來保護用戶的隱私,如對充電樁的信息讀取過程、數(shù)據(jù)傳輸過程的加密。其次,建議定期進行數(shù)據(jù)備份和恢復演練,確保數(shù)據(jù)不會丟失或被破壞。最后,與第三方安全公司合作,對充電樁進行定期安全檢查,確保系統(tǒng)的穩(wěn)定性和可靠性!叭绱艘粊,不僅可以百分之百地預防所有已知的風險,同樣可以抵擋絕大多數(shù)的未知風險”。Tellus Power集團VP Srikanth表示。
頻發(fā)的信息網(wǎng)絡泄露風險,也開始讓企業(yè)意識到需升級充換電領域的安全防護領域。如吉利旗下的極氪能源ZEEKR Power電動汽車交流充電樁,近期宣布成為首個通過中國網(wǎng)絡安全審查技術與認證中心安全評估,獲得“IT產(chǎn)品信息安全認證證書”的充電樁產(chǎn)品。據(jù)企業(yè)介紹,除了常見的短路、漏電、過壓、聯(lián)機等保護多重防護設計外,最重要的是,該充電樁具備完善的信息安全技術保障,能夠及時發(fā)現(xiàn)、報告并處理網(wǎng)絡攻擊或異常行為。
華為近年來也在發(fā)力充電樁產(chǎn)品,相關負責人告訴記者,充電樁是一個智能化產(chǎn)品,技術迭代要求高,同時要求具備能源互聯(lián)和數(shù)據(jù)互聯(lián)的屬性。介于在ICT領域的綜合能力,華為構建了“云管邊端”的架構體系和產(chǎn)品解決方案,從芯片、操作系統(tǒng)、數(shù)據(jù)庫、到端到端可信安全技術,且都是自主可控,有效實現(xiàn)能源智能化,和數(shù)據(jù)信息安全防護! 〈送,東風、廣汽等相關車企針對智能汽車的網(wǎng)聯(lián)系統(tǒng)等采用雙安全組件,支持功能安全最高的ASIL D級,智能網(wǎng)聯(lián)云平臺采用國密級別數(shù)據(jù)安全保護算法,個人敏感數(shù)據(jù)脫敏處理,保證用戶數(shù)據(jù)安全。
【觀察】
智能汽車發(fā)展需進入“安全賽道”
萬物互聯(lián)時代,汽車智能化、電氣化發(fā)展帶來了更多機遇,與此同時,網(wǎng)絡危機并存?梢哉f,加強數(shù)據(jù)安全體系的建設,才能保障中國汽車產(chǎn)業(yè)行駛在“安全賽道”。
可以見到,隨著新能源汽車的不斷發(fā)展,我國充電設施行業(yè)的發(fā)展從初期的粗放型管理,正循序進入合理建設、優(yōu)化運營、智慧賦能的道路。在我國通往汽車強國的道路上,充電運營平臺的安全防護及運營質量,無疑也是推動新能源汽車有序發(fā)展的重要支撐點。