特斯拉充電設備被攻破兩次，Akamai專家談充電設備安全性保障

2月21日消息，在2025年1月22日至24日舉行的Pwn2Own汽車黑客競賽的第二天，參賽者兩次成功入侵特斯拉的Wall Connector電動汽車充電設備，獲得了95，000美元的現(xiàn)金獎勵。

在這場大賽中，除了特斯拉充電設備外，競賽人員還成功攻擊了WOLFBOX、ChargePoint Home Flex、Autel MaxiCharger等品牌的充電設備。

隨著電動汽車銷量的持續(xù)攀升，全球電動汽車充電設備市場正步入爆炸性增長階段，根據(jù)QYResearch的調(diào)研數(shù)據(jù)，預計2030年全球電動汽車充電設備市場規(guī)模將達到179.2億美元。

與此同時，如同黑客競賽展示的情況，規(guī)模龐大的電動汽車充電站作為物聯(lián)網(wǎng)（IoT）的關(guān)鍵組成部分，面臨著嚴峻的網(wǎng)絡安全挑戰(zhàn)。

不僅是電動車充電設備，汽車行業(yè)的API安全問題同樣面臨挑戰(zhàn)。

Bleeping Computer數(shù)據(jù)顯示，2023年有近20家汽車制造商和服務提供商存在API安全漏洞，這些漏洞使黑客能夠遠程解鎖和啟動車輛、追蹤車輛位置，并竊取車主的個人信息。此外，一些電動汽車充電站平臺被發(fā)現(xiàn)存在API授權(quán)問題，使得賬戶被接管并遠程控制所有充電站。黑客可以劫持用戶賬戶、中斷充電服務，甚至將充電站編程為“后門”，從而攻破用戶的家庭網(wǎng)絡。

據(jù)媒體報道，2024年，一家韓國汽車制造商則因 API 身份驗證缺陷暴露了數(shù)百萬輛汽車，允許攻擊者通過車牌信息遠程解鎖車門、啟動引擎并追蹤車輛。

Akamai資深解決方案技術(shù)經(jīng)理馬俊表示：“IoT設備特別容易受到硬件和軟件漏洞的影響，而許多傳統(tǒng)的OT系統(tǒng)在設計時并未考慮到聯(lián)網(wǎng)的安全需求。如果單一節(jié)點被攻破并繞過，可能會進一步滲透整個充電網(wǎng)絡，導致更為嚴重的后果和風險?！?/p>

馬俊指出，在網(wǎng)絡訪問控制中應用“零信任”模型對如此關(guān)鍵的充電網(wǎng)絡來說尤為重要。它能夠確保只有經(jīng)過驗證和授權(quán)的設備才能訪問網(wǎng)絡資源，同時實現(xiàn)對所有連接OT設備的實時監(jiān)控與識別。通過實施細粒度的分段控制，不僅可以有效限制設備之間的通信，還能持續(xù)監(jiān)測網(wǎng)絡流量，從而保護關(guān)鍵基礎(chǔ)設施并滿足合規(guī)性要求。這樣能夠顯著提升OT設備的網(wǎng)絡安全性，降低了潛在風險，并確保了業(yè)務的連續(xù)性。

Akamai亞太地區(qū)和日本安全技術(shù)總監(jiān)Reuben Koh則強調(diào)：“隨著 API 在汽車行業(yè)中的應用不斷擴大，其安全性已經(jīng)從技術(shù)問題轉(zhuǎn)變?yōu)殛P(guān)系到用戶隱私、生命安全和企業(yè)品牌聲譽的核心挑戰(zhàn)。汽車制造商必須立即行動起來，系統(tǒng)性地提升 API 的開發(fā)、測試和管理水平，確保技術(shù)進步不會以犧牲用戶安全為代價。”

保護API安全需要多方面的措施，Reuben建議企業(yè)可以重點關(guān)注以下三個關(guān)鍵領(lǐng)域：

一、可見性。確保全面了解所有API，包括其用途、端點和潛在風險。定期審計和監(jiān)控API活動，避免將遺留或未監(jiān)控的接口暴露給公眾。

二、漏洞管理。遵循安全開發(fā)實踐，定期進行漏洞掃描和代碼審查，并及時修補已知漏洞。最小化攻擊面是防止漏洞被利用的關(guān)鍵。

三、業(yè)務邏輯保護。建立明確的業(yè)務邏輯基線，監(jiān)控異常行為，并防止針對業(yè)務邏輯的復雜攻擊，以保護關(guān)鍵數(shù)據(jù)和功能。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。