卡巴斯基：可連網的家用電動車充電器漏洞，可讓駭客隨意控制充電甚至引發火災

就在各國政府紛紛祭出補貼或優惠措施以推動電動車之際，家用的電動車充電器也成為熱門商品，然而，卡巴斯基實驗室（ Kaspersky Lab）上周發布一報告，指出由ChargePoint所打造的ChargePoint Home充電器含有眾多安全漏洞，將允許駭客掌控該裝置，包括讓它無法充電，甚至是釀成火災。

市場上已存在許多電動車充電器供應商，諸如知名的ABB、GE，或是其它小型業者，也有不少業者以「遠端控制充電程序」作為產品行銷口號，允許使用者利用手機上的行動程式來控制充電器，只是這類連網的充電器也更容易成為駭客下手的目標，卡巴斯基即選中ChargePoint Home進行分析。

ChargePoint Home裝置上含有一個啟用了通用閘道介面（Common Gateway Interface，CGI）的網頁伺服器。研究人員發現，CGI的眾多程式中含有一系列的安全漏洞，可被駭客用來接管裝置，其中有兩個漏洞藏匿在用來將檔案上傳到裝置上不同文件夾的程式，而不管是傳送命令到充電器的程式，或者是用來下載系統紀錄的程式都含有堆疊緩衝區溢位（stack buffer overflow）漏洞。

上述所有的漏洞都將允許駭客藉由連結攻擊目標的Wi-Fi網路來控制充電程序。

於是駭客將可調整充電時的最大電流，暫時關閉用戶家中電力系統的某些部份，當裝置的連結不正確時，可能因電線過熱而釀成火災；也能隨時中止汽車的充電程序，限制汽車可行駛的距離，而造成經濟上的損失。

ChargePoint在接獲卡巴斯基的研究報告之後已修補了相關漏洞，研究人員則認為，業者應該好好思考在充電器上提供無線介面的必要性，因為它所帶來的安全風險往往超越了優點。