10月24日，一年一度的“白帽黑客”对决盛会GeekPwn2020国际安全极客大赛在上海落下帷幕，来自腾讯的参赛队伍Blade Team亮相赛场，并演示“无感支付”式直流充电桩的漏洞攻击。

在比赛中，‌Blade Team安全研究员模拟攻击者身份，受害者的车辆身份标识一旦被攻击者获取，并使用相应的特殊设备连接“无感支付”直流充电桩与汽车，就能利用充电桩通信协议漏洞，轻松完成“盗刷”操作。

“新能源汽车的车辆身份标识一般多存在于车身外部，属于公开信息，难免有不少黑产渠道会贩卖这类车辆数据，这种方法一旦被黑产掌握，有被大可能被恶意利用的风险。”Blade Team高级安全研究员Nicky介绍道。

此次Blade Team发现的漏洞是国内首个充电桩行业安全漏洞，影响面大、修复难度高，对于行业健康发展具有很强的风险提示价值。

当前，我国新能源汽车行业正处于迅速发展时间段，充电桩作为新基建的重点领域之一，而且还是新能源汽车最重要的基础设施，其安全性不容小视。

即插即充、无感支付更是当下充电桩行业的主流发展趋势，选用“无感支付”技术的充电桩只需在初次绑定环节对用户进行身份认证，充电时即可自动识别车辆身份标识，在充电完成后立即从绑定账户中进行相应扣款。

作为腾讯安全平台部一直专注前沿技术领域安全的研究团队，Blade Team率先关注到充电桩行业的安全研究空白，并凭借此前在物联网、硬件等技术领域的积累，展开对“无感支付”式充电桩的深入研究。

据了解，此次发现的漏洞属于充电通信协议层面缺陷，采用相同技术方案的“无感支付”式直流充电桩均受其影响。目前腾讯Blade Team已通过GeekPwn官方向相关厂商提交漏洞细节，并将协助厂商进行修复。

对于新能源汽车的普通用户，Blade Team研究员也表示无需过度恐慌，该攻击的实现需要专业知识和专用设备，真正利用漏洞有一定门槛。在厂商修复该漏洞前，尽量选择传统的二维码扫码等充电支付方式，即可规避不利影响。

上一篇: 什么样服务器才是游戏专用的高防服务器？

下一篇: 细谈“O泡果奶”事件