10月24日，一年一度的“白帽黑客”對決盛會GeekPwn2020國際安全極客大賽在上海舉辦，來自騰訊的參賽隊伍Blade Team亮相賽場，并成功實現(xiàn)了對“無感支付”式直流充電樁的漏洞攻擊演示。

　　在比賽中，‌Blade Team安全研究員模擬攻擊者身份，僅需獲得模擬受害者的車輛身份標識，并使用特殊設備連接“無感支付”直流充電樁與汽車，就能利用充電樁通信協(xié)議漏洞，輕松完成“盜刷”操作。

　　“目前新能源汽車的車輛身份標識多存在于車身外部，屬于公開信息，也有很多黑產(chǎn)渠道會販賣這類車輛數(shù)據(jù)，這種方法一旦被黑產(chǎn)掌握，有被大規(guī)模惡意利用的風險。”Blade Team高級安全研究員Nicky介紹道。

　　此次Blade Team發(fā)現(xiàn)的漏洞是國內(nèi)首個充電樁行業(yè)安全漏洞，影響面大、修復難度高，對于行業(yè)健康發(fā)展具有很強的風險提示價值。

　　當前，我國新能源汽車行業(yè)正蓬勃發(fā)展，充電樁作為新基建的重點領域之一，同時也是新能源汽車最重要的基礎設施，其安全性不容小視。

　　而即插即充、無感支付更是當前充電樁行業(yè)的主流發(fā)展趨勢，采用“無感支付”技術(shù)的充電樁僅需在初次綁定環(huán)節(jié)對用戶進行身份認證，充電時即可自動識別車輛身份標識，在充電完成后從綁定賬戶中進行相應扣款。

　　作為騰訊安全平臺部一支專注前沿技術(shù)領域安全的研究團隊，Blade Team率先關注到充電樁行業(yè)的安全研究空白，并憑借此前在物聯(lián)網(wǎng)、硬件等技術(shù)領域的積累，展開對“無感支付”式充電樁的深入研究。

　　據(jù)了解，此次發(fā)現(xiàn)的漏洞屬于充電通信協(xié)議層面缺陷，采用相同技術(shù)方案的“無感支付”式直流充電樁均受其影響。目前騰訊Blade Team已通過GeekPwn官方向相關廠商提交漏洞細節(jié)，并將協(xié)助廠商進行修復。

　　對于新能源汽車的普通用戶，Blade Team研究員也表示無需過度恐慌，該攻擊的實現(xiàn)需要專業(yè)知識和專用設備，真正利用漏洞有一定門檻。在廠商修復該漏洞前，盡量選擇傳統(tǒng)的二維碼掃碼等充電支付方式，即可規(guī)避不利影響。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內(nèi)容。本站不承擔此類作品侵權(quán)行為的直接責任及連帶責任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。