Blade Team发现国内首个充电桩行业安全漏洞,已报告相关厂商
10月24日,一年一度的“白帽黑客”对决盛会GeekPwn2020国际安全极客大赛在上海落下帷幕,来自腾讯的参赛队伍Blade Team亮相赛场,并成功实现了对“无感支付”式直流充电桩的漏洞攻击演示。
在比赛中,Blade Team安全研究员模拟攻击者身份,仅需获得模拟受害者的车辆身份标识,并使用特殊设备连接“无感支付”直流充电桩与汽车,就能利用充电桩通信协议漏洞,轻松完成“盗刷”操作。
“目前新能源汽车的车辆身份标识多存在于车身外部,属于公开信息,也有很多黑产渠道会贩卖这类车辆数据,这种方法一旦被黑产掌握,有被大规模恶意利用的风险。”Blade Team高级安全研究员Nicky介绍道。
此次Blade Team发现的漏洞是国内首个充电桩行业安全漏洞,影响面大、修复难度高,对于行业健康发展具有很强的风险提示价值。
当前,我国新能源汽车行业正蓬勃发展,充电桩作为新基建的重点领域之一,同时也是新能源汽车最重要的基础设施,其安全性不容小视。
而即插即充、无感支付更是当前充电桩行业的主流发展趋势,采用“无感支付”技术的充电桩仅需在初次绑定环节对用户进行身份认证,充电时即可自动识别车辆身份标识,在充电完成后从绑定账户中进行相应扣款。
作为腾讯安全平台部一支专注前沿技术领域安全的研究团队,Blade Team率先关注到充电桩行业的安全研究空白,并凭借此前在物联网、硬件等技术领域的积累,展开对“无感支付”式充电桩的深入研究。
据了解,此次发现的漏洞属于充电通信协议层面缺陷,采用相同技术方案的“无感支付”式直流充电桩均受其影响。目前腾讯Blade Team已通过GeekPwn官方向相关厂商提交漏洞细节,并将协助厂商进行修复。
对于新能源汽车的普通用户,Blade Team研究员也表示无需过度恐慌,该攻击的实现需要专业知识和专用设备,真正利用漏洞有一定门槛。在厂商修复该漏洞前,尽量选择传统的二维码扫码等充电支付方式,即可规避不利影响。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
八大看点丨个人信息保护法草案如何捍卫个人信息安全
10月13日,备受关注的个人信息保护法草案提请十三届全国人大常委会初次审议。草案从确立以“告知——同意”为核心的个人信息处理一系列规则、严格限制处理敏感个人信息、明确国家机关对个人信息的保护义务等方面,为全面加强个人信息的法律保护做出了明确性规定,是继民法典后个人信息保护法立法的又一个重要里程碑。 草案出台背景 数字显示,截至2020年3月,我国互联网用户已达9亿,互联网网站超过400万个,应用程序数量超过300万个,个人信息的收集、使用更为广泛。虽然近年来我国个人信息保护力度不断加大,但在现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。 “为及时回应广大人民群众的呼声和期待,落实党中央部署要求,制定一部个人信息保护方面的专门法律,将广大人民群众的个人信息权益实现好、维护好、发展好,具有重要意义。”全国人大常委会法工委副主任刘俊臣表示,制定个人信息保护法是进一步加强个人信息保护法制保障的客观要求,是维护网络空间良好生态的现实需要,也是促进数字经济健康发...
- 下一篇
又双叒一个类Unix操作系统停止开发!!!
近日,TrueOS(原 PC-BSD)项目团队发布公告,正式宣布TrueOS 项目停止开发。 TrueOS项目团队公告称: 怀着沉重的决心,TrueOS项目的核心团队决定中止开发TrueOS。我们仍将大量参与FreeNAS和TrueNAS CORE等其他开源项目。我们为TrueOS及其前身PC-BSD所做的工作感到无比自豪。 TrueOS源代码将继续在GitHub上提供给其他可能想要继续使用的人,对TrueOS和PC-BSD的忠实拥护者的感激我们无以言表,虽然这是一个艰难的决定,但它也是一个正确的决定,因为我们都像TrueNAS CORE一样参与了许多激动人心的新项目。 团队负责人Kris表示从最近一次提交(1月初)就开始打算放弃TrueOS,此外他还在表示在过去的两到三年里,项目核心团队成员都把重心转移到了TrueNAS CORE /企业和其他一些项目现在。最重要的一点原因是很少有社区对该领域有所需求,因此我们几乎都转移到了其他方面。 TrueOS在2006年启动时,它被命名为PC-BSD,但在2016年,名称更改为TrueOS正式成为FreeBSD的下游分支,从那之后,TrueOS...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Linux系统CentOS6、CentOS7手动修改IP地址
- SpringBoot2全家桶,快速入门学习开发网站教程
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS关闭SELinux安全模块
- CentOS8安装Docker,最新的服务器搭配容器使用
- 设置Eclipse缩进为4个空格,增强代码规范