充电桩安全漏洞大揭秘:你的车还敢充电吗?
充电桩安全漏洞大揭秘:你的车还敢充电吗?
2024年7月,美国德克萨斯州西南研究院(SwRI)的工程师发现了一个令人震惊的安全漏洞:电动汽车快速充电站的通信协议存在严重安全隐患,黑客可以借此获得未经授权的访问,甚至修改充电站固件。这一发现揭示了当前充电桩基础设施面临的严峻安全挑战。
技术漏洞:黑客入侵的温床
OCPP协议的安全隐患
开放充电点协议(OCPP)是电动汽车充电生态系统中事实上的标准协议,用于管理云管理系统(CMS)与电动汽车充电系统(EVCS)之间的通信。然而,最新研究发现在16个流行电动汽车充电管理系统中发现了6个零日漏洞,这些漏洞可能被黑客利用来监视和收集敏感信息,甚至实现伪造EVCS和伪造CMS,劫持生态系统内CMS与实际EVCS之间的通信。
PLC通信技术的加密缺失
电力线通信(PLC)技术虽然已有一百多年的历史,但在安全性方面却暴露出了严重问题。SwRI的研究人员发现,PLC层面的安全性较差,车辆与充电站之间的通信缺乏加密。通过专门的中间人(Man-In-The-Middle, AitM)设备,测试人员能够窃听电动汽车和EVSE之间的通信,收集数据并进行潜在攻击。
固件安全问题
充电桩固件的安全性同样令人担忧。研究显示,通过不安全的直接访问密钥,PLC设备上的非易失性内存区域可以被轻易检索和重新编程。这为固件损坏等破坏性攻击打开了大门。早在2020年,SwRI的成员就曾破解J1772充电系统,模拟恶意攻击,发送信号以模拟过度充电,改变电流速率,甚至完全中断充电过程。
物理隐患:质量与维护的双重挑战
设备质量参差不齐
随着新能源汽车市场的快速发展,充电桩数量急剧增长。然而,由于缺乏强制性标准,一些充电桩生产企业为了追求利益而降低生产标准,导致产品质量参差不齐。部分交流充电桩价格低至一两千元,直流充电桩两三万元,而一些小品牌甚至推出几百元的低价产品,质量堪忧。
安装不规范
充电桩的安装环节同样存在诸多风险。一些车主自行寻找不具备专业资质的施工单位进行安装,甚至有些充电桩在敷设时交叉穿越天然气管道或捆绑于天然气管道上,成为负重支架,风险较大。安装人员良莠不齐,有些连电工证都没有,进一步增加了安全隐患。
维护不到位
充电桩的后期维护同样不容乐观。一些充电桩长期暴露在室外,容易产生散热、水浸、老化等问题,但运维普遍滞后,“只管用,不管维护”现象普遍。据中国消费者协会发布的《新能源电动汽车消费与公共充电桩使用情况调查报告》显示,近六成受访者经常遇到充电桩损坏或故障情况。
安全事件频发:从自燃到触电
自燃事故频发
近年来,多起新能源汽车自燃事故与充电桩安全问题密切相关。2024年3月15日,浙江杭州市一小区地下车库发生充电桩电线自燃事故,起火点正是电线的加接处。无独有偶,2023年4月,重庆市开州区一位车主在木桥湾充电站充电时,插上充电枪仅8分钟后,车尾充电桩就燃起浓烟。
触电风险
除了火灾隐患,充电桩还存在触电事故风险。苏州市产品质量监督检验院市场部新能源与智能装备室主任魏兵兵指出,一些充电设备充电枪头破损、充电线缆破损,存在触电风险。同时,充电设备内部存在等电位线破损、缺失、连接不可靠等问题,电力接线端子使用自粘绝缘胶带,长期高负荷运行导致绝缘损坏,影响设备安全运行。
防范措施:构建全方位安全体系
技术层面的解决方案
- 零信任架构:SwRI的工程师开发了一种专门用于电动汽车的新型“零信任”架构。该架构基于“如果攻击者想要穿透您的防火墙,他们很可能会成功”的假设,要求在执行命令之前对每个数字资产进行根级别的验证,确认其身份和与网络的关联。
- 加密通信:加强PLC通信技术的加密,确保车辆与充电站之间的通信安全。
- 固件保护:提高固件安全性,防止未经授权的访问和修改。
管理层面的措施
- 强制性标准:推动充电桩产品纳入国家3C强制性认证目录,提高准入门槛。
- 市场监管:加大市场监管力度,打击假冒伪劣产品,从源头减少安全隐患。
- 规范安装:严格执行《江苏省新能源汽车充(换)电设施建设运营管理办法》,确保施工单位具备相应资质。
- 定期维护:建立完善的运维体系,定期检查和维护充电桩,及时处理故障和隐患。
用户层面的建议
- 选择正规产品:购买电动车和充电设备时,应选择正规厂家生产的产品。
- 规范使用:按照说明书正确使用充电设备,避免不当操作。
- 应急准备:了解充电桩起火等紧急情况的处置方法,配备合适的灭火器。
结语
随着电动汽车的普及,充电桩安全已成为关系国计民生的重要议题。从技术标准的制定到市场监管的加强,从安装规范的严格执行到后期维护的到位,每一个环节都需要我们共同努力。只有构建起全方位的安全防护体系,才能真正消除充电桩安全隐患,为新能源汽车行业的发展奠定坚实基础。