本文是翻译文章，文章原作者Tony Nasr, Sadegh Torabi, Elias Bou-Harb, Claude Fachkha,Chadi Assi，文章来源：sciencedirect.com
原文地址：https://www.sciencedirect.com/science/article/pii/S0167404821003357

译文仅供参考，具体内容表达以及含义原文为准

当今社会对电动汽车的需求激增，为了实现可持续增长，配套基础设施也同样要快速发展。未来需要建立一个可靠的电动汽车充电生态系统以满足客户的需求，同时确保互联网系统和连接的关键基础设施的安全，抵御可能的网络攻击。本研究设计了一种系统查找和收集方法，以获得广泛部署的电动汽车充电站管理系统 (EVCSMS，EV Charging Station Management Systems ) 的代表性样本。此外，利用逆向工程和渗透测试技术对已识别的 EVCSMS 及其软件/固件实现进行全面安全漏洞分析。

本研究的系统分析揭示了一系列漏洞，这些漏洞证明了 EVCSMS 对远程网络攻击的不安全性。考虑到此类攻击的可行性，还讨论了针对 EV 充电站 (EVCS，EV Charging Stations) 及其用户的攻击影响。更重要的是，模拟了实际网络攻击对电网场景的影响，这可能导致电网服务中断和故障。

0x01 Introduction

全球电动汽车 (EV，Electric Vehicles) 产业在过去几年中迅速扩大，支持技术和基础设施的开发和应用也在激增。根据国际能源署最近发布的一份报告，电动汽车的总数已增至 630 万辆，其中公共充电点超过 80 万个，私人充电桩估计为 650 万个。更重要的是，预计电动汽车采用率的增加将导致部署的电动汽车充电站 (EVCS) 数量的线性增长，这是满足客户需求和提高服务质量所必需的。

尽管总体而言，物联网已被证明对生活的不同方面都有益，但它的安全性和广泛的相关漏洞给用户和网络运营商带来了安全和管理方面的挑战，例如Mirai 僵尸网络。同样，在连接互联网的 EVCS 的背景下，扩展的远程功能可能会为针对已部署的 EVCS、其用户以及直接集成的关键基础设施（如电网）的一系列网络攻击打开大门。

因此，在本文中通过对其部署的 EVCSMS 的深入安全分析来检查联网 EVCS 的安全态势。评估了 16 个 EVCSMS 的代表机构，包括由全球知名供应商开发的系统，例如施耐德电气，其提供大量在欧洲广泛部署的 EV 服务。本研究对底层基于固件、Web 和移动设备的 EVCSMS 进行了彻底的分析，并发现了各种0 day漏洞，这些漏洞证明了已部署系统的不安全性。此外，在讨论针对 EVCS 及其用户的实际攻击影响时，展示了利用已识别的漏洞来破坏 EVCS 并使用仿真分析对电网执行频率不稳定性攻击的可行性。事实上，本工作提高了对所研究系统对网络攻击的脆弱性的关注，这需要迅速采取行动保护 EVCS 生态系统免受网络攻击。为此，建议减轻针对此类漏洞驱动攻击的对策。

0x02 Methodology

本研究识别 16 个支持 Internet 的 EVCSMS 软件产品（即基于固件、基于 Web 和基于移动设备的）并分析它们的安全态势。目标是通过发现一系列漏洞并讨论其可能的攻击影响，同时探索减轻未来网络攻击的实际对策，从而揭示部署的 EVCSMS 的不安全性。旨在解决以下研究问题（RQ）：

1、鉴于支持互联网的 EVCS 数量不断增加，可以探索哪些系统方法来检查其 EVCSMS 的安全性并识别可用于发起网络攻击的漏洞？

2、针对 EVCS 及其用户的网络攻击在现实生活中有何影响？如何利用网络安全对策来缓解它们？

3、攻击者如何利用被利用的 EVCS 攻击电网等关键基础设施？此类攻击对电网及其运行的实际影响是什么？

为了回答RQ，按照下图所示的方法收集 EVCSMS 语料库，同时利用各种方法对已识别系统进行深入的安全分析。目标是检测这些系统中的漏洞并探索现实生活中的攻击影响。此外设置并进行了仿真实验，以研究利用被利用的 EVCS 僵尸网络对电网及其运行进行频率不稳定性攻击的可行性。在下文中，从系统查找和收集、资产分析和漏洞分析等三方面详细描述了该方法。

A. 系统查找和收集

如上图所示，方法的第一阶段包括收集大量 EVCSMS 产品进行分析。为了实现这一点，研究者编译了一个包含 EV 和 EVCS 相关关键字（例如，EV charger, EVCS, charging station）组合的单词列表，并利用它使用两个 Web 对其每个内容执行查找搜索和设备搜索引擎。如下表所示确定了 16 个 EVCSMS，将其归类为固件、移动和 Web 应用程序。在下文中，将详细说明用于分别获取这些系统中的每一个的不同搜索程序。

固件：系统查找结果获得了 5 个广泛部署的 EVCSMS 固件，如上表中所列。为了获得这些固件，在网络搜索引擎上，使用编译的EVCS单词列表来定位流行的EVCSMS供应商的索引网站，然后检查他们的站点地图以从下载端点获取软件图像。通过在制造商的网站以及专门的镜像站点上执行自动网络爬虫来实现这一点，方法是检查每个相应的网页并递归访问所有嵌入式超链接和目录路径以查找自动下载固件和软件的端点更新包。例如在 Google 网络引擎上运行以下 dork query site: www.se.com intext:’’charging station’’ 来搜索施耐德电气的主要网站（即 www.se.com）中的网页通过使用文本过滤器显式指定这些关键字，在其 HTML 中包含字符串“charging station”。这使研究者能够在施耐德电气的网站上找到一个名为“EVlink 充电站”的端点，其中包含有关 EVlink EVCS 产品线的信息，可以递归地抓取这些信息以找到并下载其相应的固件更新包。

移动应用：除了定位软件端点，通过探索这些网站能检测指向供应商发布其基于移动的 EVCSMS 产品的移动应用程序商店（例如，Apple 的 App Store、Google 的 Play 商店）的外部引用。例如，在浏览 ChargePoint 的主网站 (www .chargepoint.com) 时，发现了一个 Web 端点（即 /en-us/drivers/mobile），他们在其中发布了获取其移动应用程序的详细信息。为了收集和分析这些应用程序，自动访问了各个商店的 EVCSMS 应用程序的首页并提取所有标识详细信息（例如，应用程序名称、版本、开发者），然后搜索并下载相应的 android 应用程序包 (APK)来自第三方应用程序存储库。在这项工作中专注于收集 APK 而不是 iOS 应用商店包 (IPA)，因为大多数供应商的目标是在 Play Store 上发布产品，因为与 App Store 相比，它的限制较少。总的来说，确定并收集了三个 EVCSMS 移动应用程序的信息，即 ChargePoint、Go Electric 和 EV Connect（上表）。

网络应用程序：最后通过其用户界面 (UI) 和 API 查询不同设备搜索引擎（例如 Shodan，Censys）上的精选 EVCS 单词列表，以查找可公开访问的 EVCSMS 门户。例如在 Shodan 引擎上运行以下过滤器查询标题：’’Electric Vehicle Charging’’ 以搜索在 HTML 标题中具有特定 EVCS 相关关键字字符串（即“Electric Vehicle Charging”）的面向互联网的设备他们的 HTTP Web 界面横幅的标记元素。这能够找到许多属于 Cornerstone Technologies Limited 的 EVCSMS 产品实例，其 EVCSMS 门户具有以下标题“Login – Electric Vehicle Charging Management System”。通过根据返回的主机数据横幅过滤相关和真实的系统，获得了一个独特的基于 Web 的 EVCSMS 列表，这些 EVCSMS 连接到公共和私人充电站。此外，通过提取它们持有的特殊信息（例如，产品名称或版本、供应商名称或徽标）来反向搜索已发现的门户，以确定其对应的供应商，如上表所示。

B. 资产分析

在本节中将讨论对每个已发现系统执行分析的各种技术。一般来说，在分析固件时，会分解它们以转储 EVCSMS 文档集合，然后对相应的二进制文件进行逆向工程，而对于分析 EVCSMS Web 应用程序，鉴于无法访问后端代码库，执行黑盒渗透测试以评估其安全性并识别弱点。在移动应用分析方面，将收集到的 APK 分解成 Java 源代码，对其进行审查以检测漏洞。接下来，针对每个类别中的已识别系统提供详细的分析过程。

固件：如前表所示选择了 5 个 EVCSMS 固件，它们属于顶级 EV 产品供应商（例如，施耐德电气）。这些固件包中的每一个都代表供应商开发的管理系统，该系统运行由各自制造商设计和提供的一组独特的充电站产品。这些充电站包括多个系列，专为不同的应用领域而设计，涵盖公共停车场（例如街道）和私人停车场（例如商业建筑、住宅）的电动汽车充电需求。它们配备了电能计量功能、用户身份验证、报告生成、成本分配和远程维护。在分析中，从每个供应商的域下载最新的固件更新版本并分别进行分析。为此，主要对收集的固件使用了两个分析过程。

在第一个分析过程中，解压缩 ZIP 更新存档，并提取其嵌入的 POSIX tar（即 EPK 包），从中获得各种文件，其中包括 Linux/ARM OS 内核映像、BIN 数据、shell 脚本、ELF可执行文件和包含 EVCSMS 文档集合的 JFFS2 文件系统。为了研究这个文件系统，编写了一个 Bash 脚本（如上），它创建一个临时设备节点，加载 mtdblock 和 jffs2 Linux 内核模块，使用 dd 实用程序将映像的 jffs2 二进制 rootfs 转储到设备节点 ，然后最后挂载 jffs2 rootfs 并从输出的 TGZ tar 存档中提取基本目录。在这个基本目录中，找到文档集合并对 cgi-bin 子目录中的 cgiServer 二进制文件进行逆向工程，这是一个通用网关接口 (CGI) 程序，用于动态生成和管理 Web EVCSMS 上的内容。当请求指向 cgiServer 时，HTTP 服务器将其标准输出发送到 Web 客户端而不是终端。客户端通过标准输入向 cgiServer发送基于 GET 或基于 POST 的请求以及表单数据和参数，并通过进程环境变量发送 URL 路径、标题数据以及其他目录。然后 CGI 程序可以从标准输入中读取这些变量和数据，并适应 Web 客户端的请求以生成网页。

在第二个分析过程中，从官方供应商支持站点下载 xChargeIn、Smart-fox 和 Keba 更新包，并提取它们各自的更新 ZIP 存档。在这些档案中找到了几个二进制数据 BIN 文件，其中firmware.bin 包含 EVCSMS 文档集合。为了转储他们的文件系统，在二进制图像中搜索嵌入式文件和可执行代码，然后使用名为 binwalk 的提取实用程序提取它们。获得的这些文件代表了基本 EVCSMS 的文档集合，该集合由几个实体（例如 HTML、XML 和 PNG）和 zlib 压缩数据组成，使用 binwalk 递归地从中恢复附加文件（如上）。这能够从更新包中提取和检查完整的控制面板文件。但是，虽然第一个分析过程中的许多文件都是以原始格式获得的并且可以直接查看，但在此过程中，大多数文件都是经过编译的，需要在分析之前进行反汇编。

移动应用：在移动应用收集阶段，选择前表中列出的 3 个移动应用，并使用一组特殊的逆向工程技术对其进行分析。对这些应用程序中的每一个的分析都依赖于反转它们的 APK，它通常是一个存档包，其中包含一个清单文件、一个应用程序证书、一个包含跨平台编译代码的 lib 目录和一个包含所有编译后的类，可以由 Dalvik 虚拟机 (DVM) 和 Android 运行时环境解释。这个 classes.dex 文件是进行研究的最重要的组件，为了获得它，使用 apktool从每个移动应用 APK 包中提取所有文件，该工具将所有资源分解为几乎原始的形式。使用提取的类存档，使用 dex2jar 实用程序将其转换为 JAR 文件，使用 jd-gui直接浏览其底层 Java 源代码文件。这个恢复的源代码代表了用于应用程序编译的几乎完整的初始开发基础，这能够在搜索错误的同时执行准确的代码审查。

网络应用程序：在系统收集阶段，选择了 8 个基于 Web 的 EVCSMS 进行彻底分析（例如，OASIS Portal、Ensto），鉴于这些应用程序的完整文件设置是封闭源代码且不公开可用对于采集，无法使用它们执行白盒测试方法。因此采用黑盒分析和渗透测试来确定其中的漏洞能力。最初，对每个应用程序的开放端口进行指纹识别，并搜索它们通常通过 HTTP/HTTPS 运行的主要 UI 前端。这能够确定应用程序的 Web 根目录，然后会自动抓取该根目录以枚举所有无需身份验证即可检查的可访问端点。此外，利用其中一些接口中没有速率限制来使用通用目录字典对 URL 路径进行暴力破解，从而能够找到隐藏的 Web 内容和文件。通过收集的 URL，研究（使用自动化工具）页面的文档对象模型 (DOM) 以查找基于 HTTP POST 的表单和嵌入的 GET 参数。此外，从 JavaScript 库文件中获取隐藏参数，并进行探测以查找所有请求中隐藏的 HTTP 标头。此外，只要能够绕过身份验证表单（例如，使用默认凭据），就会在内部端点上再次执行前面的步骤。通过收集所有这些实体，系统地扫描它们中的每一个以识别错误配置和代码清理问题。为了重复测试和便于记录，还使用 HTTrack创建了检查系统的离线副本。

C. 漏洞分析

本研究遵循多种方法和技术来引导对所获得的 EVCSMS 及其资产进行深入的安全分析，例如开放 Web 应用程序安全项目 (OWASP) 测试指南。虽然在分析的系统中探索了一系列漏洞，但在这项工作中专注于识别可能导致利用和控制目标系统的严重漏洞，例如跨站点脚本 (XSS) 和结构化查询语言注入 (SQLi)，仅举几例。此外，利用提出的威胁模型来探索对 EVCS 及其用户的实际攻击影响，同时使用仿真结果来证明网络攻击对电网及其操作的可行性和影响。

威胁模型：假设对攻击者可以通过利用其 EVCSMS 中的高严重性漏洞来破坏公共和私有 EVCS。此外，利用是通过网络远程执行的，这可以根据目标 EVCS 的连接性/可访问性以不同的方式执行，例如 EVC SMS 是面向 Internet 还是只能通过本地访问局域网 (LAN)。在研究中专注于检查连接 Internet 的 EVCSMS，其利用不需要访问 LAN，因此使攻击向量非常强大和有效。在这种情况下，为了利用面向 Internet 的 EVCS，假设攻击者在尝试利用其漏洞之前执行 Internet 范围的扫描以搜索可行的 EVCSMS。但是，应该注意的是，EVCS 的连接性在实际利用过程（即触发漏洞）方面没有任何差异。例如，如果无法通过 Internet 访问 EVCS，则假定攻击者可以访问 EVCS 所连接的 LAN，以便进行本地但远程的利用。按照这两种方法，假设攻击者控制了底层的 EVCS，同时能够对易受攻击的 EVCS（例如，操纵收费过程）、相应的用户/运营商（例如，劫持他们的用户帐户）发起各种网络攻击，以及基础设施中的集成关键（例如，破坏电网的稳定）。此外，攻击者可以利用受感染的 EVCS 创建一个僵尸网络并对其他设备（例如分布式 DoS）进行分布式网络攻击。

0x03 Results: Vulnerability Analysis and Attack Implications

总的来说，本文分析揭示了一系列漏洞，其中，强调了所有分析的 EVCSMS 中的 13 个严重漏洞类别。如下表所示，使用其对应的常见弱点枚举 (CWE) ID 枚举每个漏洞/弱点，该 ID 可用于查找有关 CWE MITRE 中指定弱点的更多信息 The MITRE Corporation 和OWASP数据库（例如，CWE-79 对应于 XSS）。请注意，分析的系统与许多漏洞相关联。例如确定了 EVlink 的 8 个严重漏洞（例如 XSS），而 ChargePoint 与一个严重漏洞相关联。尽管在分析的 EVCSMS 中发现的弱点数量不定，但重要的是要注意，主要目标是确定至少一个可能导致远程/本地攻击的漏洞，从而损害目标 EVCS。除了已识别的漏洞之外，还讨论了针对 EV 生态系统中各种利益相关者的攻击影响。虽然可以对 EV 生态系统中的各种实体进行不同的攻击，但在这项工作中，专注于调查对受损充电站 (EVCS)、其用户和连接的电源产生严重影响的大规模攻击网格。

A. 针对 EVCS 的攻击

如威胁模型所述，攻击者可以通过使用一个或多个漏洞利用其管理系统来破坏目标 EVCS。将在以下小节中讨论针对 EVCS 及其操作的一些主要攻击影响：

充电过程和设置操作：安全分析揭示了已识别的 EVCSMS（上表）中的几个漏洞，这些漏洞允许攻击者破坏 EVCS 并查看其充电计划，同时通过启动、延迟或停止任何充电过程来操纵其操作。一般分析表明，大多数经过审查的 EVCSMS 都缺乏足够的输入清理，这是 XSS 漏洞的根本原因。例如，EVlink 存在多个 XSS 漏洞，这些漏洞是通过反转 cgiServer 二进制文件并发现多个端点及其相应的 GET 参数来检测的，这些端点允许恶意 JavaScript 注入 Web 框架。这主要是由于提供的用户输入缺乏足够的清理和编码造成的。利用此类 XSS，攻击者可以将恶意 JavaScript 代码注入 EVCSMS 上下文，以劫持目标用户的帐户会话并采取许多操作，例如修改帐户和 EVCS 设置/配置。此外，当受感染的目标用户帐户具有特权访问权限（例如管理员）时，攻击者可以完全控制所有 EVCSMS 功能和数据。例如在 EVlink 中发现了一个配置初始化功能，该功能容易受到逗号分隔值注入 (CSVi) 的攻击，可以利用该功能嵌入 XSS 有效负载，当精心制作的 CSV 文件被触发并存储在系统数据库中时文件已加载。此漏洞导致存储型 XSS，它通过劫持管理员的会话令牌来实现权限升级，如下图所示。此外，此 XSS 漏洞允许通过植入 web shell 定期从对抗性远程服务器。

除了 XSS 之外，还发现了几个容易受到 CSRF 漏洞攻击的 EVCSMS，这些漏洞允许攻击者诱使目标用户执行无意的操作，从而获得对用户帐户的控制权并操纵 EVCS 设置。因此，当目标用户具有特权（例如，管理员用户）时，攻击者可以查看/控制所有 EVCSMS 的数据和功能。例如在 OASIS 管理员面板上发现了一个 CSRF 漏洞，这是由于提交数据时缺少 CSRF 令牌，可用于触发基于 POST 的反射型 XSS，从而允许攻击者劫持用户的帐户。如下显示了精心制作的概念验证表单，其中 HTML 编码/BASE64 编码的 XSS 有效负载嵌入到易受攻击的 EMAIL 参数中，以触发显示帐户会话令牌的弹出警报框。此外，在基于 PiControl 的 EVCSMS 中，发现了基于 POST 的 CSRF 弱点，这些弱点可能导致修改 EVCS 的控制面板设置，包括设备信息、网络设置和充电/调度配置。还在 EVlink 中发现了一个基于 GET 的 CSRF 漏洞，该漏洞允许攻击者通过易受攻击的 GET 参数更改相应的密码值来接管目标用户的帐户。

固件操作：除了 XSS 和 CSRF 漏洞外，攻击者还可以利用其他高严重性弱点，例如 SQL 注入 (SQLi) 攻击来获得对 EVCSMS 的特权访问并执行固件操作。这通常是通过利用 SQLi 漏洞获取对整个 EVCSMS 数据库的访问权限来完成的，该数据库包含用户记录，包括高权限用户帐户信息和凭据（例如管理员）。确定了一些易受 SQLi 攻击的 EVCSMS。例如，Base EVMS 和 ICEMS 上的身份验证表单都通过其 POST 参数遭受基于布尔和基于时间的盲 SQLi 缺陷，可以将其用作注入点来系统地执行任意 SQL 查询并转储存储的 EVCSMS 数据库表.例如，如下图所示，表 sys_user 包含用户帐户的信息和凭据，包括属于管理员帐户的那些。此外分析表明，一些经过测试的 EVCSMS （例如 SmartFox 和 CSWI Etrel）具有默认的硬编码凭据，包括用于入站身份验证的管理员帐户的凭据。通过获取这些凭据，攻击者可以绕过已实施的安全措施直接访问和使用 EVCSMS，并可以访问内部功能和数据。

随后，攻击者可以利用获得的管理员级别的访问权限来更改已部署的 EVCS 固件。例如，攻击者可以通过下图中所示的功能上传较旧且可能不太安全的版本来降级易受攻击的 EVCSMS 的固件。需要注意的是，这种固件降级主要是由于在系统实施中缺乏足够的版本检查。此外，由于对上传的固件包的完整性检查不足，攻击者可以覆盖本地存储在文件系统中的校验和哈希，并使用各种更改的二进制文件上传修改后的固件。这非常令人担忧，因为它可以在 EVCS 固件中植入 rootkit 以获得持久和特权功能，同时通过控制 EVCS 和执行隐蔽的恶意活动来进行进一步的攻击。

计费操纵：除了固件操作之外，攻击者还可以利用 SQLi 漏洞来操作受感染的 EVCSMS 中的计费功能并修改计费成本。例如，攻击者可以覆盖 EVCSMS 数据库中 sys_bill 和 sys_refund 表的内容，其中包含计费和退款信息。因此，原始系统计费值可能会被篡改，以减少计费值或要求非法退款。请注意，外部恶意方或想要滥用 EVCSMS 修改或可能取消其收费费用的合法用户可能会对此类攻击感兴趣。

机器人和网络代理：攻击者可以在协同僵尸网络中招募大量受感染的 EVCS，以发起各种网络攻击，例如有针对性的拒绝服务 (DoS) 或互联网探测/侦察活动。为此，攻击者可以利用服务器端请求伪造 (SSRF) 漏洞将受感染的 EVCS 用作代理，并强制它们将请求重定向到内部/外部端点，并在网络上执行横向移动以及扫描第三方。分析发现三个 EVCSMS 存在 SSRF 漏洞，这主要是由于对通过 GET 和 POST 请求参数传递的值的验证不完整造成的。具体来说，通过拦截这些请求并更改其默认值以注入随机域/IP 地址，攻击者可以强制 EVCSMS 向外部各方提交 HTTP/DNS 请求。此外，攻击者可以注入本地 IP 地址（例如 192.168.0.1）以强制站点将内部请求转发到 LAN 上的其他设备，从而启用本地设备发现。此外，可以利用 SSRF 漏洞通过将请求重定向到 localhost（即 127.0.0.1）从 EVC SMS 中提取信息，从而可以读取任意文件并记录存储在 EVCS 文件系统上的日志。

拒绝服务 (DoS)：攻击者可以利用他们对 EVCSMS 的控制来锁定底层 EVCS 或禁用其配置中的特定功能，从而拒绝合法客户端的物理和虚拟访问。为了执行 DoS 并阻止合法客户使用 EVCS，攻击者需要首先获得对 EVCSMS 的控制权，例如通过 XSS 或 CSRF，然后调整 EVCS 设置以打开/关闭某些阻碍其使用的功能。例如发现 EVlink 和 OASIS 存在 CSRF 缺陷，这使得攻击者能够劫持 EVCS 上的功能，特别是强制重启 EVCS。因此，攻击者可以反复触发重启功能，以使 EVCS 保持在连续重启循环中，从而中断其充电计划/操作。如上图所示，EVlink 上的 CSRF 漏洞可以通过连续触发此动作导致 EVCS 每 30 秒重启一次。这主要是因为没有随机化的令牌来验证重启操作。此外，攻击者还可以通过向 EVCSMS 发送大量请求，同时阻止合法用户访问管理系统，对目标 EVCS 执行 DoS 攻击。事实上，分析表明一些 EVCSMS（例如，xChargeIn、CSWI Etrel、Keba）并未对其基本功能（如身份验证）实施速率限制机制。这允许攻击者使 EVCSMS 崩溃，并对登录表单进行字典攻击，并暴力破解 EVCSMS 网络路径以确定隐藏的端点和资源。

B. 针对用户的攻击

重要的是要认识到 EVCS 用户代表 EV 生态系统中的主要利益相关者。此外，EVCSMS 应用程序接口的开发主要是为了提供远程管理功能和特性，以方便用户的充电体验。因此，EVCSMS 中的任何漏洞都会对用户本身构成直接威胁。在下文中描述了一些针对 EVCS 用户的攻击场景。

充电数据/记录盗窃：前表中的一些漏洞（例如 CSRF 和 SQLi）允许攻击者伪装成合法用户并访问各种用户信息和资源。其中一些资源，例如充电数据记录和特定车辆日志数据（上图），可以描述用户行为和充电活动。例如，攻击者可以使用这些信息来推断用户的电动汽车充电习惯和时间表，这些信息可能会被用于多种恶意目的（例如，监视、间谍活动、财产盗窃等）。

此外，攻击者可以利用诸如跨域资源共享 (CORS) 和 Flash 跨域策略 (FCDP) 错误配置等漏洞来泄露敏感的用户信息/数据并使用它来访问用户帐户。例如，发现 FCEIS 和 Lancelot 等一些 EVCSMS 实施了非常宽松的 CORS 策略，可以利用这些策略从外部域远程访问 EVCSMS。这种许可 CORS 策略的一个示例与 Access-Control-AllowOrigin 标头中通配符 (“∗”) 来源的规范相关联，如上所示。此弱点使系统容易受到跨域攻击动态接受和反映来自跨域外部连接的来源。此外，这种 CORS 错误配置允许攻击者扩展 EVCSMS 同源策略 (SOP)，通过向外部域发送请求并窃取帐户会话数据来执行进一步的攻击。

此外发现一些 EVCSMS 实施了许可的 FCDP，通过允许任意域与 EVC SMS 交互，为攻击用户打开了大门。例如，CSWI Etrel 采用了不受限制的跨域策略 (crossdomain.xml)，它可以实现外部域和 EVCSMS 之间的双向交互（下图）。因此，攻击者可以窃取帐户令牌并从目标用户会话中窃取数据，同时使用受感染的用户帐户进行进一步的攻击。

个人身份信息泄露：通常，EVCSMS 产品可能会要求用户提供其详细信息作为其帐户配置的一部分，以通过合并其个人身份信息 (PII)（例如姓名、地址和联系信息等）来促进身份验证并确保服务合法性。因此，攻击者可以利用 EVCSMS 漏洞来入侵用户的帐户并获取他们的 PII，这些漏洞可以被用来对用户进行后续攻击，例如黑邮、骚扰和身份盗窃等。

重要的是要认识到 PII 泄漏可以通过不同的方式发生。例如在 EVlink 上发现了一个维护端点，它没有强制执行足够的授权，因此可能导致强制浏览攻击。事实上，可以通过直接访问此端点来绕过身份验证，这可以授予攻击者访问维护和能源管理设置面板的权限，在那里他们将能够查看用户信息和充电过程详细信息以及其他敏感信息。内部系统（例如，固件版本）。

同样，Keba、Ensto CSI 和 Garo CSI 等其他 EVCSMS 由于缺少对许多端点的身份验证而遭受信息泄露漏洞。例如，这可以使未经身份验证的攻击者了解有关底层 EVCS 状态的信息，如下图所示。

从不同的角度来看，在三个基于移动的 EVCSMS 的 Java 源代码中发现了硬编码的密钥（例如加密密钥），即 ChargePoint、Go 和 EV Connect。这些密钥用于通过帐户创建/注册、身份验证和信息更新等多种操作对数据/通信进行加密。因此，通过获取它们，攻击者可以潜在地规避暴露用户通信和数据的加密方案，以推断个人信息以及其他敏感数据（例如，帐户凭据）。

付款欺诈：几乎所有公共 EVCSMS 都设计有在线支付功能来处理银行交易和收费。如计费操作所述，SQLi 漏洞可用于从 EVCSMS 数据库转储信息，包括存储的包含用户付款信息的计费/付款记录（例如 invoice_info 表）。或者，攻击者可以实施主动监听器，通过利用其他漏洞（例如存储的 XSS）秘密窃取该支付信息。此后，攻击者可以利用窃取的财务信息直接执行支付欺诈或出售将此信息提供给其他恶意第三方，这些第三方将利用这些信息进行恶意活动。

C. 对电网的攻击

通过利用其管理系统中的不同漏洞证明了许多部署的 EVCS 的不安全性，被利用的 EVCS 可能被用于对电网等集成基础设施进行网络攻击。从本质上讲，通过利用在整个工作中讨论过的远程可利用漏洞（例如 SQLi），攻击者能够完全接管和控制由受影响的易受攻击的 EVCSMS 管理的底层 EVCS。因此，利用这些漏洞的恶意行为者可以通过控制其操作（例如连接的电动汽车的充电和放电）来操纵相应的 EVCS，最终影响与电网建立的电力消耗流。

鉴于电网处理大规模运营以服务数百万客户，对此类关键基础设施的任何攻击都会产生重大影响。因此，各种恶意组织可能会对进行如此大规模的网络攻击感兴趣，他们试图造成毁灭性的经济和社会损害。由于 EV 充电生态系统是一个新的、广泛的攻击面，它构成了一个有吸引力的目标可供大型组织以及个人和团体利用，这些组织拥有足够的资源来利用该基础设施进行攻击。

为此通过评估各种攻击场景的影响来讨论对电网的攻击影响，特别是频率不稳定性攻击，鉴于它们对电网稳定性的重大威胁，本研究选择对其进行检查。具体来说，这些攻击是由于电力需求/供应的突然变化造成的不平衡，导致电网系统频率突然下降或增加。为了进行分析，假设攻击者控制了大量受感染的 EVCS，这些 EVCS 被精心策划以启动同时充电/放电请求，目的是破坏或削弱电网的稳定性。

本研究的模拟是基于北美临界区频率范围标准的分析。具体来说，每当系统的频率由于供需严重失衡而降至 59.5Hz (Demand >> Supply) 以下或高于 61.5Hz(Supply >> Demand)时，电网就会在关键区域运行，任何进一步的电气不平衡将导致关闭保护继电器和设备。

如上图所示，使用WSCC)提供的系统近似值，其中有 9 条总线/线路，需求量等于 315MW（ICSEG）。由于其相当小的尺寸，该设置通常用作电力系统暂态稳定性分析的基准。请注意，母线 5、6 和 8 是负载母线。此外，母线 2 和 3 上的两台发电机具有惯性，而松弛母线 1 上的发电机没有惯性，因为它具有可变发电量，使潮流方程可行。出于测试目的，将发电机 2 和 3 设置为具有固定惯性常数的 IEEE 2 型调速模型（IEEE-G2），并且假设攻击者已经破坏了分散的 EVCS（1、2 和 3 级）穿过 5、6 和 8 母线。

充电需求增加：在这种攻击场景中，假设攻击者利用大量受损的 EVCS 来启动同步充电操作。目标是通过充电需求的突然增加来破坏电网的稳定性，这可能导致电网的级联故障。为了模拟这种攻击场景，最初以标称频率 (60Hz) 运行 WSCC 系统，然后在 t = 15 秒时将代表受损 EVCS 的总线 5、6 和 8 上的负载增加 7.2MW。平均而言，这种负载增加对应于估计有 3,000 辆电动汽车在 2 级 EVCS 上充电，或 196 辆电动汽车在 3 级 EVCS 上充电，或者约 1,000 辆电动汽车在 2 级 EVCS 上充电和 131 辆电动汽车在 3 级 EVCS 上充电。

如上图a所示的暂态稳定性分析表明，由于这种攻击，模拟系统的频率突然下降。更重要的是，频率下降到临界工作区域（59.5Hz）以下，从而实现了攻击者在破坏频率和导致电网断电方面的目标增加排放供应。在第二种攻击场景中，假设攻击者通过受损 EVCS 的双向潮流特性将大量连接的 EV 放电，从而将电流逆转回电网。此功能由车辆到电网 (V2G) 技术实现，该技术允许将存储在 EV 电池中的电量反馈回电网。虽然 V2G 旨在在需要电力时支持电网，但攻击者可以通过向电网注入电力来恶意利用它来破坏电网。目标是同步大规模放电操作，通过导致电力供应突然增长破坏电网的电力需求/供应平衡来破坏电网的稳定。

为了测试这种攻击场景，将总线 5 更改为发电机，以模拟正在放电的 EV 的反向功率流。尽管完全模拟包含功率转换器（AC/DC 和 DC/DC）、功率因数校正器、传感器和控制器等功率调节单元来引导功率流的 EVCS 并非易事，但可以近似地模仿它的电行为。具体来说，对于模拟设置，使用了带有 REGC_C 励磁器的光伏 (PV) REGC_A 模型发生器，它非常类似于通过 EVCS 放电的 EV 电池的电力电子设备。出于测试目的，选择充电/放电限制为 3.3 kW 的雪佛兰Volt 作为连接的电动汽车。此外通过在 t = 15 秒时突然注入 51.7 兆瓦的功率来模拟放电操作，这分别代表估计 15,000 辆正在放电的电动汽车。如上图b 中的模拟结果所示，攻击是成功的，因为它通过将频率推高到临界区域（61.5Hz）以上导致系统不稳定。

应该注意的是，由于大量操纵的电力负载，这种讨论的攻击在今天可能不可行。然而，在一个城市内拥有大量联网电动汽车将成为未来的普遍现象。例如，纽约市已经注册了超过 15,000 辆电动汽车。因此，随着政府为刺激购买电动汽车而提供的激励措施，电动汽车的采用率预计会增加，并且部署的 EVCS 数量也会相应线性增长 ，预计这种攻击将在未来几年内变得可行。

切换攻击：在切换攻击场景中，攻击者结合了先前攻击场景中呈现的能力，在短时间内同步受感染的 EVCS 及其连接的 EV 之间的大规模交替充电和放电操作。这种策略旨在引起突然的开关频率干扰，从而破坏电网的稳定性，并最终导致级联故障。具体来说，通过强制电动汽车开始充电，攻击者将导致系统频率下降，系统将尝试通过增加其发电量来恢复正常频率。此时，攻击者将利用系统的响应来执行相反的攻击（通过强制电动汽车放电来增加供应），通过移除他们添加的负载，而是通过利用车辆向电网注入电力EVCS 的并网 (V2G) 功能。这将导致系统的发电量多于负载量，从而使频率超出临界区。因此，系统将尝试通过减少自己的发电量来恢复，而攻击者将通过增加负载来响应，从而导致频率下降等等。因此，攻击者不允许系统将其频率恢复到正常。

为了模拟这次攻击对电网的影响，通过在 6 号母线上增加充电需求，然后在 5 号母线上增加放电供应，在之前的两次攻击之间切换。通过模拟一个攻击者开始攻击，该攻击者最初强制EVCS 通过在 t = 15s 时增加充电来引起负载浪涌。然后，一旦系统的频率从其临界峰值恢复到标称频率范围（10s 内），攻击者为系统提供 66MW，代表从连接的电动汽车。为了确定攻击者需要注入或移除以破坏电网稳定的功率量，使用瞬态稳定性分析进行了几次模拟，通过这些模拟跟踪了将系统频率推入电网的功率负载关键区域。如上图c 所示，这两次充电和放电攻击相继重复，导致系统的频率在低于（例如，在 t=20s、40s 和 60s）和高于临界区域（例如，在 t=30s 和 50s）在很短的时间内。结果，攻击者将能够破坏电网的稳定性，同时可能导致电网运行中的级联故障。

D. 针对其他实体的攻击

虽然讨论了针对上述三个主要利益相关者的攻击影响，但也有可能使用受损的 EVCS 对 EV 生态系统中的其他实体进行攻击。例如，攻击者可以通过修改充电水平并通过容忍高电压/电流忽略关键的电池状况来破坏连接的电动汽车。然而，讨论这些攻击需要进一步的调查和分析，这超出了本工作的范围，将在未来的工作中考虑。此外将研究重点放在主要利益相关者身上，因为他们的攻击会对用户和连接的关键基础设施产生重大影响和影响。

0x04 Mitigating Countermeasures

在下文中将讨论系统开发人员/设计人员可以实施的实际对策，以加强部署的 EVCSMS 并减轻针对 EVCS、其用户和连接电网的进一步网络攻击。 如下表所示提出了一系列对策，旨在解决前表中已识别的漏洞。此外，参考 CWE MITRE The MITRE Corporation 和 OWASP The OWASP Foundation 上可用的文档以获取有关已知/ 推荐的对策，可以使用每个漏洞的给定 CWE-ID 进行导航。 最后为进一步保护和未来系统实施和部署提供了额外的安全指南和最佳实践。

A. 修补漏洞

若想减轻所讨论的针对主要利益相关者的攻击，需要解决所有已识别的 EVCSMS 的高严重性漏洞，如上表所示。在下文中将进一步详细介绍建议的缓解技术来修补每个漏洞。

跨站脚本：为了防止 EVC SMS 中的 XSS 漏洞 (CWE-79)，必须尽可能根据预编译的有效值列表严格过滤可篡改的 HTTP 参数，并且必须在输出时正确清理和编码用户可控的输入，例如，HTML 标记括号 < and >和使用 HTML 编码< 和 > 以防止它们被主动呈现为响应 HTML 正文的一部分。在分析过程中，观察到 EVCSMS 中的此类易受攻击的字段和参数对应于 PII 表单字段（例如，用户名、站名）、系统搜索功能以及身份验证表单和配置/设置参数。此外，应用适当的响应标头（例如，Content Type 和 X-Content-Type-Options）并执行内容安全策略 (CSP) 可以降低可能仍然发生在系统。通过正确修补 XSS 问题，开发人员可以减轻诸如收费过程和设置操纵以及数据/记录盗窃等攻击。

SQLi：为了减轻 EVC SMS 中的 SQLi 漏洞 (CWE-89)，开发人员必须通过在 EVCSMS 身份验证表单中的易受攻击参数上滥用字符串连接问题来防止攻击者执行 SQL 查询，这些参数包含被视为数据的不受信任的输入作为帐户用户名和密码。为了解决这些问题，他们必须使用参数化查询来区分代码和数据，并防止对来自任意来源的可变数据的误解。因此，通过完全避免在 EVC SMS 处理查询中使用字符串连接，不应信任任何外部数据项并将其视为潜在威胁。通过适当修补 SQLi 问题，这些漏洞代表严重的严重漏洞，为攻击者提供对 EVCS 的完全控制，开发人员可以缓解上一节中讨论的所有攻击场景，例如固件和计费操纵以及针对电网。应该注意的是，为了减轻攻击者获得对 EVCSMS 的特权访问的固件操纵攻击，开发人员应实施更强的固件版本检查，以防止固件降级，并实施更强的签名检查，通过明确定义哈希值来防止固件更改属于公认的固件版本。

信息披露：为了修补信息泄露问题 (CWE-200)，开发人员应在所有端点上强制执行身份验证，以便攻击者无法通过侧端点上的直接或格式错误的请求诱导 EVCSMS 无意泄露敏感信息。这可以通过编译关键端点列表和它们包含的信息来实现，然后保护它们并实施适当的错误处理以限制被揭示的调试信息。

缺少身份验证：同样，为了减轻 EVCSMS 上丢失的身份验证漏洞 (CWE-306)，开发人员应对系统内的所有功能强制执行身份验证，尤其是配置更新和 EVCS 电源选项和重启设置等关键功能，以防止未经身份验证的攻击者以及劫持目标用户会话以使其无法访问和修改的攻击者。

嵌入式秘密：为了减轻基于移动的 EVCSMS 中的嵌入式机密（即加密密钥）引起的 PII 泄漏攻击等威胁，供应商应该通过安全连接到后端，让系统在运行时获取这些密钥为每个客户端用户生成唯一密钥的 API 端点。

CSRF：为了防止 EVCSMS 中的 CSRF 漏洞 (CWE-352)，开发人员应使用敏感操作保护每个表单，例如更改用户凭据、关闭 EVCS 和下载收费记录。这是通过在每个基于 GET 和 POST 的 HTTP 请求中附加不可预测的随机令牌值（例如，CSRF 令牌）来实现的，以关联和验证相应的操作，并防止攻击者制作恶意请求以覆盖或劫持这些操作 并导致系统修改。 解决 CSRF 漏洞可以缓解 DoS 和收费过程以及设置操纵等多种攻击。

强制浏览：为防止强制浏览漏洞 (CWE-425)，系统开发人员应确保所有敏感端点和资源都通过授权模型和访问控制机制正确执行。即通过将特定端点和资源链接到特定的权限级别，并确保只有具有相应权限级别的允许实体才能通过预期的设计路径访问它们。修补这些漏洞可以减轻设置操纵和 PII 泄漏年龄攻击。

硬编码凭据：尽管供应商使用硬编码凭据来简化部署和可扩展性，但它们会导致漏洞 (CWE-798) 和攻击。因此，为了减轻这些威胁，开发人员可以采取几个步骤来加强攻击者的获取，例如通过创建复杂的凭据并将其相应的加盐哈希硬编码在源代码中，而不是直接放置它们以明文形式显示。此外，它们的值和位置可能会被混淆，从而使提取它们变得更加困难。此外，供应商可以为每个客户 EVCSMS 安装嵌入不同的密码，并相应地在初始设置时提示他们更改这些凭据。

缺少速率限制：为了减轻由于没有速率限制 (CWE-799) 引起的 DoS 等攻击，开发人员应实施机制来阻止过多和快速的请求，例如 Web 应用程序防火墙 (WAF)，并插入临时延迟以减少重复操作的频率，例如暴力尝试猜测端点或帐户凭据以及重复尝试重新启动 EVCS，这可能导致未经授权的访问并直接/间接导致 EVCS 损坏。

SSRF：为防止 SSRF 漏洞 (CWE-918)，开发人员应依靠替代逻辑来替换通过系统用户可篡改的参数传递的 IP/URL 地址信息。此外，他们应该实施检查以验证传递给系统的 IP/URL 地址，并拒绝那些不符合预先编译的有效列表的地址，以避免欺骗 EVCSMS 进入环回的创建地址。此外，EVCSMS 应该存储有效的客户端目标地址和相应的服务器端令牌之间的映射，以防止篡改尝试。修补 SSRF 漏洞可以有效缓解严重威胁，例如机器人招募和网络代理攻击。

跨域策略配置错误：为了防止诸如 CORS 和 FCDP 错误配置 (CWE-942) 漏洞等宽松跨域策略引起的数据/记录盗窃和帐户信息泄露等攻击，开发人员应明确指定所需敏感资源的可信来源被要求。即通过明确指定允许与 EVCSMS 交互的外部域。

CSVi：为了减轻由于 EVCSMS 以 CSV 格式存储和管理计费记录而利用 CSVi 漏洞 (CWE-1236) 引起的威胁和攻击，开发人员应确保 EVCSMS 安全地解析提供/存储的文件并拒绝那些用于触发或执行代码的格式错误和危险字符。此外，如果 EVCSMS 依赖第三方软件来解析 CSV 文件，开发人员应确保解析器分发是最新的并针对最新的错误进行修补。

B. 安全措施、指南和最佳实践

为了减轻针对电网的大规模网络攻击，开发人员必须正确修补所有上述漏洞，特别是那些具有严重和高严重性/影响的漏洞（例如 SQLi），这使攻击者可以完全控制 EVCSMS，以便有效防止对底层 EVCS 的远程开发和操纵。供应商和开发人员在实施必要的补丁时不断评估其 EVCSMS 的安全性非常重要。通过在产品开发阶段发现和解决此类漏洞，通过设计集成安全性也很重要，这将减少重新设计和重新评估已部署系统的负担，同时避免已知的安全问题。

此外，为了缓解针对电网的供需操纵，有一些旨在防止充电时间表操纵的对策。电网运营商可以通过频繁监控充电计划和连接的 EVCS 的状态来进行早期粘性检测，以检测充电行为中的异常情况。这个过程可以通过利用机器学习 (ML) 模型来自动设计一个异常检测系统，该系统不断监控从 EVCS 智能电表的数据流中收集的充电记录，以了解正常模式并在恶意时警告操作员模式被检测到。这使操作员能够对异常做出反应并启动应急计划来处理攻击场景。应该注意的是，这种异常检测策略的成功意味着在电网和 EVCS 运营商之间建立信任模型，以便他们交换数据。

为了防止攻击者篡改 EV 充电计划和与 EV 相关的 EVCS 配置，相应的 EVCSMS 和 EV 系统可以实现相互共识，以验证对其任何设置进行的修改。例如，要更改 EV 充电时间表，EVCSMS 将要求 EVCS 将此请求的更改通知 EV 运营商/用户，以便他们批准或拒绝。以这种方式，破坏 EVCSMS 并获得对 EVCS 的控制权的攻击者在没有获得其他参与实体（例如 EV 运营商/用户）的批准的情况下，无法强制执行自定义充电计划配置。

此外，虽然 EVCSMS 开发人员的主要任务是生产安全设计系统，但 EVCS 用户还需要正确安全地设置充电站，以防止某些攻击。因此提供了一些指导方针来提高用户意识。第一步是始终更改在 EVCS 固件上设置的默认凭据。此外，用户应设置具有强帐户凭据的远程身份验证方法。这些步骤可以有效地缓解自动和大规模网络攻击，以使用默认和/或弱凭据破坏在线 EVCS。此外，用户必须避免与伪装成 EV 产品供应商的不受信任的网站/电子邮件进行交互，因为攻击者通常利用它们嵌入恶意代码并针对相应的 EVCSMS 进行攻击。此外，私人 EVCS 用户可以在其 EVCSMS 门户上禁用公共设备发现功能，以将其隐藏在 Internet 上的远程攻击者面前，并减少攻击面。此外，始终建议通过设置不同的规则来配置防火墙，该规则只允许受信任方之间的流量和连接。

0x05 Discussion

在 EV 充电生态系统的背景下，与物联网生态系统中存在的不安全性类似，扩展的 EVCS 远程功能范围为各种网络攻击打开了大门。然而，对于在野部署的越来越多的 EVCS 以及为它们提供工具的 EVCSMS 的安全性缺乏知识，尤其是当文献中的研究仅限于理论攻击和需要广泛的特定场景时设置。因此，在本文中对施耐德电气等全球知名供应商开发的 16 种 EVCSMS 进行了深入的安全分析，并强调了这些系统中的主要安全漏洞，这些漏洞被开发人员忽视了。

具体来说，本研究发现了各种0 day漏洞（例如 SQLi 和 XSS），这些漏洞表明 EV 充电生态系统中部署的系统不安全。此外在实践中，攻击者可以利用已识别的严重漏洞进行一系列网络攻击，从而破坏 EVCS 并影响其资源、数据、操作和用户的安全。更重要的是进行了仿真分析，以证明利用这些受损充电站对电网等互连的关键基础设施进行频率不稳定攻击的可行性。事实上本研究分析强调了几种攻击场景，这些场景可以利用受损的 EVCS 来削弱电网的运行。

值得注意的是，所讨论的漏洞类别已为安全社区所知，并已在其他上下文中进行检查/解决。然而，它们没有在 EVCS 的背景下得到解决的事实令人担忧，这意味着在部署 EVCS 和设计管理系统时缺乏安全考虑。这种不安全的设计/实施可能与几个因素有关。例如，电动汽车技术相对较新，但发展迅速。因此，供应商可能会优先考虑生产以跟上竞争和重要的市场需求，同时通过投入更少的时间/精力来进行深入的安全分析和评估而忽略一些安全要求。尽管如此，这项研究还是引起了人们对电动汽车充电生态系统不安全性的关注，并呼吁通过提出若干对策来保护/修补现有的 EVCSMS 并减轻未来的大规模网络攻击，从而迅速采取行动。

道德考虑和0 day漏洞：研究者在 2020 年 9 月和 2020 年 10 月进行了 EVCSMS 查找/收集和安全分析，并在发布结果之前将发现传达给了所分析 EVCSMS 的各个系统供应商/提供商，以便他们采取必要的行动来确保安全荷兰国际集团的产品。事实上，许多供应商（例如 Corner Stone Technologies、Bluesky Energy、Etrel）已经承认了已识别的漏洞并加以解决。此外，施耐德电气审核了报告的漏洞并相应保留了 12 个 CVE-ID。

限制：虽然在这项工作中识别并分析了 16 个EVC SMS，但值得注意的是，获取有关野外所有可用 EVCSMS 的信息是一项极具挑战性的任务。这主要是由于某些 EVCSMS 平台的专有性质，这些平台仅提供给预付费订阅的企业级客户或充电点运营商 (CPO)。另一个限制是某些 EVCSMS 的硬件依赖性，其开发人员不提供固件包。因此，使分析过程依赖于必须从实际工作站收集的内存转储。此外，在监督的网络应用程序分析中，仅从面向公众的前端（即身份验证表单）检查了几个系统，没有登录界面之外的内部访问。因此无法下载文档集并仔细检查其组件。此外，虽然被限制在这些系统上使用默认凭据，但某些 EVCSMS 登录表单的安全性使得检查身份验证后的内容变得不可行，这可能会隐藏更多的漏洞。

就未来可能的工作而言，要注意目前的方法需要大量的手动分析和检查，这依赖于安全审计和测试领域的领域知识和专业知识。然而，鉴于大多数已识别的漏洞为安全社区所知，本文方法可以通过自动化分析自定义漏洞能力分析工具的全部或部分来推广。此外为了使分析具有可扩展性，计划利用基于人工智能的技术和模型来学习被分析系统的结构和上下文特征，同时在处理新系统时提供自动漏洞分析和检测的手段。最后，由于分析的 EVCSMS 的整体不安全性，旨在通过开发一种用于大规模 EVCS 设备发现和指纹识别的方法来扩展对已部署 EVCSMS 的了解。虽然本研究的结果将有助于识别其他 EVCSMS 产品和供应商，可用于量化与在野部署的充电站相关的网络威胁。

0x06 Conclusion

在这项工作中概述了电动汽车充电生态系统及其主要物理组件以及其软件和协议组成部分。此外展示了收集 EVCS 固件、基于 Web 和基于移动设备的 EVCSMS 的方法，然后对它们中的每一个进行彻底的安全分析。通过强调研究结果，证明了电动汽车充电生态系统在其最基本的实体、EVCS 及其管理系统中存在严重漏洞，使整个层次结构处于高风险网络攻击。更重要的是，当讨论针对 EVCS 及其用户的实际攻击影响时，展示了网络攻击对互连电网运行的可行性，从而导致可能的不稳定和服务中断。最后，虽然阐明了使用已识别漏洞进行网络攻击的可行性，但推荐了一些实用的对策，旨在保护现有和/或新系统的设计和实施，同时为开发人员以及最终用户和电网运营商提供安全指南和最佳实践。