圖片來源: 

Kaspersky Lab

就在各國政府紛紛祭出補貼或優惠措施以推動電動車之際,家用的電動車充電器也成為熱門商品,然而,卡巴斯基實驗室( Kaspersky Lab)上周發布一報告,指出由ChargePoint所打造的ChargePoint Home充電器含有眾多安全漏洞,將允許駭客掌控該裝置,包括讓它無法充電,甚至是釀成火災。

市場上已存在許多電動車充電器供應商,諸如知名的ABB、GE,或是其它小型業者,也有不少業者以「遠端控制充電程序」作為產品行銷口號,允許使用者利用手機上的行動程式來控制充電器,只是這類連網的充電器也更容易成為駭客下手的目標,卡巴斯基即選中ChargePoint Home進行分析。

ChargePoint Home裝置上含有一個啟用了通用閘道介面(Common Gateway Interface,CGI)的網頁伺服器。研究人員發現,CGI的眾多程式中含有一系列的安全漏洞,可被駭客用來接管裝置,其中有兩個漏洞藏匿在用來將檔案上傳到裝置上不同文件夾的程式,而不管是傳送命令到充電器的程式,或者是用來下載系統紀錄的程式都含有堆疊緩衝區溢位(stack buffer overflow)漏洞。

上述所有的漏洞都將允許駭客藉由連結攻擊目標的Wi-Fi網路來控制充電程序。

於是駭客將可調整充電時的最大電流,暫時關閉用戶家中電力系統的某些部份,當裝置的連結不正確時,可能因電線過熱而釀成火災;也能隨時中止汽車的充電程序,限制汽車可行駛的距離,而造成經濟上的損失。

ChargePoint在接獲卡巴斯基的研究報告之後已修補了相關漏洞,研究人員則認為,業者應該好好思考在充電器上提供無線介面的必要性,因為它所帶來的安全風險往往超越了優點。


Advertisement

更多 iThome相關內容