خودروهای برقی مستعد هک هستند زیرا سیستم‌های شارژ سریع تهدیدات سایبری ایجاد می‌کنند

مهندسان مؤسسه تحقیقات جنوب غربی (SwRI) دریافته‌اند که خودروهای برقی (EVs) که از سیستم‌های شارژ سریع مستقیم استفاده می‌کنند دارای آسیب‌پذیری‌های جدی هستند که آن‌ها را به هک و اختلالات احتمالی در فرآیند شارژ مستعد می‌سازد.

شارژ سریع مستقیم به عنوان سریع‌ترین و متداول‌ترین روش برای شارژ خودروهای برقی شناخته شده است. این فناوری در ولتاژهای بالا عمل می‌کند و به شدت به ارتباطات خط برق (PLC) وابسته است. PLC انتقال داده‌های شبکه هوشمند بین وسایل نقلیه و تجهیزات شارژ را تسهیل می‌کند.

با این حال، تیم SwRI با موفقیت از آسیب‌پذیری‌های موجود در لایه PLC بهره‌برداری کرد و به کلیدهای شبکه و آدرس‌های دیجیتالی روی هر دو شارژر و خودرو دسترسی پیدا کرد.

علاوه بر این، تیم دستگاهی به نام adversary-in-the-middle (AitM) با نرم‌افزار تخصصی و یک رابط سیستم شارژ ترکیبی اصلاح شده توسعه داد. با استفاده از این دستگاه، آزمایش‌کنندگان می‌توانند ترافیک بین خودروهای برقی و تجهیزات شارژ خودروهای برقی (EVSE) را رهگیری کنند که اغلب برای جمع‌آوری داده، تحلیل و حملات احتمالی استفاده می‌شود.

در طول آزمایش، تیم همچنین تولید کلید‌های ناامن را روی چیپ‌های قدیمی کشف کرد که از طریق تحقیقات آنلاین تأیید شد.

آسیب‌پذیری‌های امنیتی در ارتباطات خودرو به شارژر

“از طریق آزمایشات نفوذی ما، ما دریافتیم که لایه PLC به طور ضعیفی محافظت می‌شود و بین خودرو و شارژرها هیچ رمزگذاری وجود ندارد,” کاترین کوزان، مهندس SwRI، گفت.

این تحقیق بخشی از تلاش‌های مداوم SwRI برای کمک به بخش حمل و نقل است و می‌تواند به تلاش‌های دولت در زمینه امنیت سایبری خودروها و زیرساخت شبکه هوشمند پشتیبانی کند.

این تحقیق بر اساس پروژه‌ای در سال 2020 است که در آن SwRI با موفقیت یک شارژر J1772 را هک کرد و فرآیند شارژ را با استفاده از یک دستگاه جعل آزمایشگاهی قطع کرد. در یکی از آخرین پروژه‌های خود، SwRI تکنیک‌های شارژ خودرو به شبکه (V2G) را بررسی کرد.

این تکنیک‌ها تحت مشخصات ISO 15118 قرار دارند که پروتکل‌های ارتباطی بین EVs و تجهیزات شارژ خودروهای برقی (EVSE) را برای تسهیل انتقال برق تنظیم می‌کند.

نیاز به رمزگذاری بهبود یافته و معماری صفر اعتماد

ویک موری، مدیر دپارتمان سیستم‌های با قابلیت اعتماد بالا در SwRI، بیان کرد که تأمین امنیت پرداخت‌های شارژ بسیار مهم است. او تأکید کرد که با توجه به تکامل شبکه برای پذیرش تعداد بیشتری از خودروهای برقی، بسیار ضروری است که زیرساخت حیاتی شبکه را در برابر حملات سایبری حفاظت کنیم و همچنین امنیت پرداخت‌های شارژ خودروهای برقی را تضمین کنیم.

موری خاطرنشان کرد که تیم تحقیقاتی آن‌ها مناطقی برای بهبود شناسایی و دستگاه AitM را برای نظارت بر ترافیک بین خودروهای برقی و EVSE برای جمع‌آوری داده، تحلیل و تشخیص حملات احتمالی توسعه داد.

“اضافه کردن رمزگذاری به کلید عضویت شبکه می‌تواند نخستین گام مهم در تأمین امنیت فرآیند شارژ V2G باشد,” FJ Olugbodi، مهندس SwRI، اظهار کرد.

او توضیح داد که با دسترسی شبکه‌ای که توسط کلید‌های دسترسی مستقیم ناامن فراهم می‌شود، نواحی حافظه غیر فرار در دستگاه‌های دارای قابلیت PLC به بازیابی و برنامه‌ریزی مجدد حساس می‌شوند. این آسیب‌پذیری، به گفته مهندس، درب را برای حملات مخرب نظیر خرابی فریم‌ویر باز می‌کند.

رمزگذاری سیستم‌های تعبیه شده در خودروها می‌تواند چالش‌برانگیز باشد و گاهی اوقات حتی مشکلات ایمنی ایجاد کند.

با این حال، SwRI به طور فعال در حال توسعه معماری صفر اعتماد برای مقابله با این چالش‌ها و دیگر مشکلات است. این معماری همچنین سیستم‌های تعبیه شده مختلف را که از یک پروتکل امنیت سایبری واحد استفاده می‌کنند، متصل می‌کند.