安全研究人员发现了两个家用电动汽车充电器的故障。    

研究人员能够打开或关闭充电器，删除所有者的访问权限，并展示黑客如何进入用户的家庭网络。

大多数故障现在已经修复，但业主被告知更新他们的应用程序和充电器，以确保安全。

它发布了关于电器（包括充电器）网络安全的新立法提案。

数千个 Project EV 充电器已在英国销售，买家有资格获得政府补贴

两种家用充电器，Wallbox 和 Project EV——均被运输部批准在英国销售——被发现在与智能手机的随附应用程序一起使用时缺乏足够的安全性。

Pen Test Partners 的网络安全研究员 Vangelis Stykas 发现了这些漏洞。

“在 Wallbox 上，您可以完全控制充电器，可以获得完全访问权限并取消通常所有者对充电器的访问权限。您可以阻止他们为自己的车辆充电，并为攻击者的车辆提供免费充电。

“EV 项目在其后端的实施非常糟糕。他们存在的身份验证非常原始，因此攻击者可以轻松地将自己升级为管理员并更改所有充电器的固件。”

Stykas 先生表示，更改固件——内置于硬件中的编程——将允许攻击者永久禁用充电器，或使用它来攻击其他充电器或服务器。

安全研究员 Vangelis Stykas 发现黑客可以完全控制充电器

Pen Test Partners 是英国数量快速增长的专门从事渗透测试（通常称为“白帽黑客”）的公司之一。

“白帽”旨在发现安全问题并将其报告给相关公司，以便在黑客利用失败之前纠正漏洞。

Stykas 先生相信，任何对这些基于云的 Web 应用程序系统知之甚少的人都可以执行相同的黑客攻击。

“对于任何能够理解云系统和云通信的人来说，这是非常明显的，而且发现漏洞并找到利用它的方法并不需要太多时间。”

家庭网络接入

研究人员还发现，在充电器通过 Wi-Fi 连接到家庭网络的情况下，黑客也有可能获得访问权限。

Pen Test Partner 的 Ken Munro 说：“一旦你进入某人的家庭网络，如果你没有更改路由器管理员密码，你就可以将所有流量发送给黑客。

充电器容易受到攻击，因为它们与手机应用程序一起使用

“这意味着他们可以做一些事情，比如设置看起来像真实交易的网站，但会窃取你的密码，然后你的真实银行账户被盗用。你可以做各种各样的事情......所以你在网上所做的一切都有可能裸露。”

Pen Test Partners在其关于安全故障的报告中补充说，可以使用它发现的一些漏洞同时控制多个充电器，攻击者可能会利用这些漏洞使某些地区的电网过载并导致停电。

政府批准

确保网络安全是充电器在英国销售的政府条件的一部分，允许买家在购买时获得政府补贴。

Wallbox 和 Project EV 充电器已在英国销售了数千台，符合条件的电动车车主可以获得数百英镑的政府补贴，以帮助他们购买家用车载充电器。

交通部拒绝就发现有安全漏洞的两个充电器发表评论。

一位政府发言人告诉 BBC：“今年秋天，我们将出台新的立法，旨在通过对电动汽车充电站实施一系列网络安全要求来进一步保护消费者和能源系统。”

新的文化媒体和体育部立法将适用于许多连接或“智能”消费设备。预计政府将于下周公布立法草案。

缺陷已修复

Pen Test Partners 和 BBC Click 都联系了这些公司，让他们有机会在发布安全漏洞之前解决问题。

从一家名为 Atess 的中国公司进口充电器的 Project EV 表示：“我们与制造商进行了一些快速对话......以提高他们平台的安全性。

“所有提出的安全问题都已得到解决，新服务器、应用程序更新和在线充电器的固件更新都得到了解决。”

研究人员表示，与 Wallbox 充电器相关的硬件仍然存在问题

位于西班牙的 Wallbox 没有及时回复 BBC 的发布，但告诉 Pen Test Partners 他们已经解决了在线问题。

重新测试表明两个充电器的基于网络的安全问题已得到修复。鼓励业主检查两家公司发布的任何安全更新。

然而，Ken Munro 表示 Wallbox 充电器使用的硬件——树莓派模块——不够安全。

“你真的没有办法让它完全安全，所以除非 Wallbox 找到一种方法来解决这个问题——这超出了我的能力——我建议也许用强力胶粘住盒盖，这样黑客就无法取下顶部.”

在本报告发表后，Wallbox 联系了 BBC 并发表了一份声明。

“这些充电器访问的系统已经更新，以解决本文中强调的软件问题，最终用户无需采取进一步行动，”它说。

它说它“为我们的消费充电器使用了 Raspberry Pi Compute Model 3”，并补充说“这是许多消费电子设备的基础”。

Raspberry Pi 基金会建议该模块不用于新设计，目前未列入工业用途。

源:BBC(Dan Simmons)