撰稿人:Lia / 責任編輯:Zaphyra
2022年2月下旬,在俄羅斯對烏克蘭展開全面軍事行動之初,莫斯科市郊高速公路沿線的多個電動車(EV)充電樁突然集體癱瘓,螢幕上顯示著支持烏克蘭、譴責侵略的駭客訊息。這起事件雖然造成的實質損害有限,卻如同一道刺眼的閃電,照亮了全球在競相推動綠色交通轉型時,一個巨大卻常被忽視的隱憂:電動車充電基礎設施的網路安全。它以一種極具象徵意義的方式,驗證了安全專家們多年來的警告—這些日益普及的聯網設備,不僅是數據洩露的節點,更可能在關鍵時刻,成為地緣政治衝突中被武器化的工具。
隨著全球電動車市場的爆炸性增長,充電樁的普及已成為各國政府政策推動的重點。然而,英國網路安全公司「Pen Test Partners」等「白帽駭客」的研究顯示,當前市場上大量的家用及公共充電樁,存在著從硬體到軟體的嚴重安全漏洞。在硬體層面,研究人員僅需簡單工具便能拆開充電樁外殼,讀取內部晶片,從而竊取用戶的Wi-Fi密碼、網路銀行憑證等高度敏感的個人資料。部分製造商為求快速上市,甚至在商業產品中使用了如「樹莓派」(Raspberry Pi)這類主要為教育或原型開發設計、缺乏工業級安全防護的硬體模組。
在軟體與網路層面,風險更為廣泛。駭客可利用雲端平台或手機應用程式的漏洞,遠端控制任何用戶的充電樁,隨意開啟或關閉。更有甚者,某些產品的設計存在根本性缺陷,例如將設備的序號直接作為登入後台的憑證,且序號是連續編號,這使得駭客一旦掌握一個序號,便能輕易地接管成千上萬台同款充電樁。這些漏洞不僅威脅個人用戶的財產與隱私安全,其累積效應更構成了對國家關鍵基礎設施的系統性威脅。
最令人憂慮的,是協同式攻擊的可能性。電力網路的運作,依賴於供需之間的精確平衡。紐約大學2020年的一項研究模擬顯示,一個駭客組織僅需同時控制不到1000個充電樁,就能透過協同製造電力需求的大幅波動(同時開啟或關閉充電),從而引發連鎖反應,最終導致像紐約曼哈頓這樣的大都會電網崩潰。這意味著,在追求能源轉型的過程中,我們可能在無意間「創造了能被外國勢力用來對付我們的新武器」。然而,與此風險形成鮮明對比的是,美國等主要國家在投入數百億美元(如2021年基礎設施法案)加速建設充電網路的同時,卻遲遲未能出台針對充電樁的強制性網路安全法規,使得整個產業處於一種「先建設,後補牢」的高風險狀態。
全文
Lia. Independent Media 台北報導
在萬物互聯的時代,便利性與脆弱性往往是一體兩面。從智慧家庭到工業物聯網,數位化浪潮在提升效率的同時,也創造出無數新的攻擊介面。當我們將汽車這個傳統的機械體接入數位網絡,我們在擁抱一個更智能、更綠色的未來的同時,也可能在不經意間,為我們的關鍵基礎設施打開了新的後門。白帽駭客們僅用不到十分鐘,便能破解一台電動車充電樁的防護,這不僅是一場技術演示,更是對我們這個加速奔向電氣化時代的嚴肅提醒。
從硬體到雲端:充電樁的多元攻擊路徑
電動車充電樁的網路安全問題,並非單一環節的疏漏,而是貫穿其整個生態系統的結構性風險。英國網路安全專家肯·芒羅(Ken Munro)及其團隊的研究,為我們清晰地剖析了這些風險的路徑。
首先是硬體層面的物理漏洞。看似堅固的充電樁外殼,在專業工具面前往往不堪一擊。駭客在獲取物理接觸後,可以直接拆下設備的核心處理器晶片。透過讀取晶片上的數據,可以輕易獲取包括用戶家庭Wi-Fi密碼在內的敏感資訊。一旦家庭Wi-Fi被攻破,駭客便能監聽網路流量,攔截用戶的各類帳號密碼,甚至竊取網路銀行憑證。芒羅指出,部分製造商為了縮短開發週期、搶佔市場,在量產的商業產品中使用了如舊版「樹莓派模組3」(Raspberry Pi Compute Module 3)這類主要用於教育和原型設計的硬體。這類硬體雖然功能強大且易於開發,但其設計初衷並非為了應對工業級別的網路安全威脅,這為硬體層級的攻擊留下了隱患。
其次是軟體與網路層面的遠端漏洞,其威脅範圍遠比物理接觸更廣。充電樁並非孤立的設備,它透過手機應用程式、雲端服務平台與家庭Wi-Fi網路,構成了一個相互連接的生態系統。這個系統中的任何一個環節出現錯誤,都可能導致「一處失守,全線崩潰」。研究人員發現,某些充電樁的雲端平台在驗證用戶身份時存在缺陷,導致他們可以冒充任意用戶,遠端控制其充電樁的開關。另一家廠商的產品,則犯下了更為初級的設計錯誤:直接將印在設備側面的序號作為訪問其軟體的憑證,且所有設備的序號都是連續編號。這意味著,駭客只需獲取一個序號,便可透過簡單的數字遞增或遞減,理論上接管該品牌旗下的所有充電樁。
最後,是往往被忽視的人為因素。即使製造商在發現漏洞後發布了軟體更新,如果用戶未能及時安裝,這些已知的安全漏洞便會持續存在,成為駭客唾手可得的攻擊目標。保持軟體更新,是保障任何聯網設備安全最基本、也最重要的一環。
不只是個資外洩:從個體風險到系統性威脅
充電樁被駭,對個體用戶而言,可能意味著電費被盜用、個人資料外洩,甚至在極端情況下,駭客可能透過惡意軟體使電動車電池過熱,或利用充電樁作為跳板,進一步控制整輛汽車。然而,當我們將視角從個體拉升至宏觀層面時,一個更為嚴峻的國家級安全風險便浮現出來。
這個風險的核心,在於對電力網路的協同式攻擊。現代電網是一個極其精密且脆弱的平衡系統,其穩定性依賴於發電量與用電量在任何時刻都保持大致相等。任何突然的需求劇增或劇減,都可能對電網的頻率和電壓造成巨大衝擊,引發保護性跳脫,甚至導致大規模停電。
隨著電動車的普及,成千上萬的充電樁正成為電網上不可忽視的負載群體。紐約大學坦登工程學院在2020年發表的一項研究,對此進行了令人警醒的模擬。研究結果顯示,一個駭客組織在無需掌握複雜技術的情況下,僅需同時控制大約1000台充電樁,就能夠透過指令讓它們在同一瞬間集體開始充電(製造需求尖峰)或集體停止充電(製造需求低谷)。這種人為製造的劇烈波動,足以對一個區域性的電網造成嚴重干擾,甚至可能觸發連鎖反應,最終導致像紐約曼哈頓這樣的大都會電網陷入癱瘓。
正如芒羅所憂慮的:「我們在無意中創造了能被外國勢力用來對付我們的新武器。」這些分散在各家各戶車庫中的充電樁,一旦被協同控制,就從單純的充電設備,轉變為具有戰略級影響力的網路武器。
政策的悖論:加速建設與監管滯後的矛盾
面對如此清晰的系統性風險,各國的政策應對卻顯得異常遲緩。以美國為例,其政策呈現出一種令人不安的悖論。一方面,拜登政府在2021年通過的《基礎設施投資與就業法案》中,投入了數十億美元的巨額資金,計畫在全美範圍內增建50萬個公共充電樁,以加速交通領域的電氣化轉型。這是一場由政府主導、旨在搶佔綠色經濟先機的建設競賽。
但在另一方面,美國聯邦層級至今未能出台任何針對電動車充電樁的強制性網路安全法規。整個行業的網路安全標準,基本依賴於製造商的自律與市場的自發行為。在「快速上市、搶佔市佔率」的商業邏輯驅動下,網路安全往往成為被犧牲的環節。製造商普遍將其視為增加成本、拖慢產品上市速度的負擔,而非產品的核心競爭力。
這種「加速建設」與「監管滯後」的脫節,正在美國乃至全球範圍內,大規模地鋪設一個巨大而脆弱的數位基礎設施。正如2022年2月底俄羅斯充電樁被駭事件所展示的,這些設備在衝突時期,已成為網路攻擊的現實目標。
現實的警鐘與未來的防禦
亡羊補牢,未為晚也。儘管目前的監管狀況堪憂,但並非全無對策。首先,行業協會與標準制定組織需要加快步伐,建立一套統一、清晰且具有強制性的安全標準,涵蓋硬體設計、軟體開發、通訊協定與數據加密等各個方面。其次,政府在為充電基礎設施提供補貼時,應將符合特定的網路安全標準作為獲得資金的前提條件,利用財政槓桿引導行業走向安全合規。最後,也需要加強對消費者的教育,使其意識到及時更新軟體、設定強密碼等基本安全措施的重要性。
對於極度謹慎的用戶,芒羅甚至提出了一種返璞歸真的建議:讓充電樁保持「愚笨」(dumb)。即不將其連接到網際網路,僅保留其基本的充電功能,以此徹底隔絕來自網路的威脅。
歸根結底,向電動車的轉型,是應對氣候變遷、保障能源安全的必要路徑。但如果在這條綠色道路的數位地基中,埋下無數網路安全的隱患,我們可能只是在用一種新型的脆弱性,去替代舊有的能源依賴。在為電網插上數以百萬計的新「插頭」之前,確保每一個插頭都足夠安全,應當成為與建設速度同等重要的優先事項。否則,今日為便利與環保所付出的努力,可能在未來某個時刻,轉變為我們難以承受的代價。
資料來源
Reuters: Russian EV chargers hacked, show pro-Ukraine messages
https://www.reuters.com/business/autos-transportation/russian-ev-chargers-hacked-show-pro-ukraine-messages-2022-03-01/
Pen Test Partners: Hacking EV chargers. From the Wallbox Pulsar Plus to Project EV
https://www.pentestpartners.com/security-blog/hacking-electric-vehicle-chargers/
NYU Tandon School of Engineering: A Small Group of Hacked Electric Vehicle Chargers Could Black Out a City
https://engineering.nyu.edu/news/small-group-hacked-electric-vehicle-chargers-could-black-out-city
The White House: FACT SHEET: The Bipartisan Infrastructure Deal
https://www.whitehouse.gov/briefing-room/statements-releases/2021/11/06/fact-sheet-the-bipartisan-infrastructure-deal/
Wired: How to Hack an EV Charger (and Why You’d Want To)
https://www.wired.com/story/how-to-hack-an-ev-charger/
TechCrunch: Security flaws in EV chargers could let hackers shut them down
https://techcrunch.com/2023/04/12/security-flaws-ev-chargers/
U.S. Department of Energy: Cybersecurity for EV Charging Infrastructure
https://www.energy.gov/ceser/cybersecurity-ev-charging-infrastructure