2月21日消息,在2025年1月22日至24日举行的Pwn2Own汽车黑客竞赛的第二天,参赛者两次成功入侵特斯拉的Wall Connector电动汽车充电设备,获得了95,000美元的现金奖励。
在这场大赛中,除了特斯拉充电设备外,竞赛人员还成功攻击了WOLFBOX、ChargePoint Home Flex、Autel MaxiCharger等品牌的充电设备。
随着电动汽车销量的持续攀升,全球电动汽车充电设备市场正步入爆炸性增长阶段,根据QYResearch的调研数据,预计2030年全球电动汽车充电设备市场规模将达到179.2亿美元。
与此同时,如同黑客竞赛展示的情况,规模庞大的电动汽车充电站作为物联网(IoT)的关键组成部分,面临着严峻的网络安全挑战。
不仅是电动车充电设备,汽车行业的API安全问题同样面临挑战。
Bleeping Computer数据显示,2023年有近20家汽车制造商和服务提供商存在API安全漏洞,这些漏洞使黑客能够远程解锁和启动车辆、追踪车辆位置,并窃取车主的个人信息。此外,一些电动汽车充电站平台被发现存在API授权问题,使得账户被接管并远程控制所有充电站。黑客可以劫持用户账户、中断充电服务,甚至将充电站编程为“后门”,从而攻破用户的家庭网络。
据媒体报道,2024年,一家韩国汽车制造商则因 API 身份验证缺陷暴露了数百万辆汽车,允许攻击者通过车牌信息远程解锁车门、启动引擎并追踪车辆。
Akamai资深解决方案技术经理马俊表示:“IoT设备特别容易受到硬件和软件漏洞的影响,而许多传统的OT系统在设计时并未考虑到联网的安全需求。如果单一节点被攻破并绕过,可能会进一步渗透整个充电网络,导致更为严重的后果和风险。“
马俊指出,在网络访问控制中应用“零信任”模型对如此关键的充电网络来说尤为重要。它能够确保只有经过验证和授权的设备才能访问网络资源,同时实现对所有连接OT设备的实时监控与识别。通过实施细粒度的分段控制,不仅可以有效限制设备之间的通信,还能持续监测网络流量,从而保护关键基础设施并满足合规性要求。这样能够显著提升OT设备的网络安全性,降低了潜在风险,并确保了业务的连续性。
Akamai亚太地区和日本安全技术总监Reuben Koh则强调:“随着 API 在汽车行业中的应用不断扩大,其安全性已经从技术问题转变为关系到用户隐私、生命安全和企业品牌声誉的核心挑战。汽车制造商必须立即行动起来,系统性地提升 API 的开发、测试和管理水平,确保技术进步不会以牺牲用户安全为代价。”
保护API安全需要多方面的措施,Reuben建议企业可以重点关注以下三个关键领域:
一、可见性。确保全面了解所有API,包括其用途、端点和潜在风险。定期审计和监控API活动,避免将遗留或未监控的接口暴露给公众。
二、漏洞管理。遵循安全开发实践,定期进行漏洞扫描和代码审查,并及时修补已知漏洞。最小化攻击面是防止漏洞被利用的关键。
三、业务逻辑保护。建立明确的业务逻辑基线,监控异常行为,并防止针对业务逻辑的复杂攻击,以保护关键数据和功能。
