發布單位:TWCERT/CC
更新日期:2023-02-06
以色列資安廠商 SaiFlow 近日發表研究報告,指出該公司發現多種電動車充電系統的舊版通訊協定,內含兩個資安漏洞,可能導致駭侵者遠端關閉充電樁,甚至用以竊取資料與電力。
被發現存有漏洞的電動車充電通訊協定為 Open Charge Point Protocol (OCPP) 1.6J 版本;該通訊協定使用 WebSocket ,讓電動車充電樁與管理系統 (Charging Station Management System, CSMS) 服務提供者進行溝通。
SaiFlow 指出,OCPP 標準並未明確定義在已啟用與充電樁連線的情形下,CSMS 應如何接受來自充電樁的新連線要求;這種對於多個已啟用連線操作方式缺乏明確定義的情形,導致駭侵者有機會藉由充電樁和 CSMS 間的通訊連線來下手發動攻擊。
