电动汽车充电桩攻击面解析 — 2024 Pwn2Own Automotive目标 ChargePoint Home Flex

汽车安全 10个月前 admin
76 0 0

前言

“ChargePoint Home Flex是一款电动汽车充电桩,专为用户在家中使用而设计。该设备在其硬件中具有最小的用户界面,采用移动的应用程序来安装和消费。ChargePoint Home Flex为Pwn2Own Automotive电动车辆充电桩类别目标,我们将审查他的攻击面



ChargePoint Home Flex攻击面摘要



一般来说,该设备的攻击面可分为三类。

1.ChargePoint移动的应用程序
电工在安装ChargePoint Home Flex设备时使用的ServicePro应用程序提供了一种攻击途径。最终用户在配置和使用ChargePoint Home Flex时使用的ChargePoint应用程序也提供了攻击面。



2.ChargePoint Home Flex硬件

该设备包括一个嵌入式Linux主机,通过Wi-Fi与互联网上的主机通信。该单元还包含一个基于Texas Instruments MSP430微控制器的PCB。无线通信PCB基于Atmel CPU。最后,JTAG接口可通过无线通信PCB访问。



3.网络攻击面

该设备的软件补丁通过基于互联网的空中(OTA)更新提供。移动的应用程序用于本地通信的蓝牙低功耗(BLE)端点可能会提供攻击机会。与本地接入点的任何Wi-Fi通信都为拦截和操纵提供了机会。最后,该器件实现开放充电点协议(OCPP)。本方案中的任何缺陷将由充电器继承。



优先安全研究

ChargePoint Home Flex是卡巴斯基实验室研究员Dmitry Skylar进行的安全评估的主题。这项审查于2018年进行,结果发表在一篇论文中,并在一些安全会议上发表。幻灯片可以在这里找到。



ChargePoint Home Flex移动应用



ChargePoint分发了两个与Home Flex充电一起使用的应用程序。这两个应用程序都通过低功耗蓝牙(BLE)与ChargePoint Home Flex进行交互。



ChargePoint ServicePro应用程序预期供电工在为用户安装设备时使用。这个应用程序使用React Native应用程序开发框架编写。这是一个基于JavaScript的开发框架,用于跨平台的移动的应用程序开发。



以消费者为中心的ChargePoint移动的应用程序旨在供用户用于管理其充电偏好。

虽然我们没有彻底调查这些应用程序的漏洞或其他错误,但移动应用程序中的问题在过去已被威胁行为者利用,并代表了一个重要的攻击面。即使移动应用程序本身超出了Pwn2Own汽车竞赛的范围,它们仍然应该由研究界进行彻底的审查。



ChargePoint Home Flex低功耗蓝牙



ChargePoint Home Flex使用低功耗蓝牙与移动应用程序进行通信。趋势科技的研究人员使用自定义BLE扫描工具来枚举充电桩提供的端点。



BLE规范中定义了以下服务:

– BLE Service Device Information 服务 设备 信息
    – 系统 ID : 
    – 型号 字符 串 :CPH 50
    – Serial Number String : 
    – 软件 修订 字符 串 :5.5.2.5



研究人员在扫描被测设备(DUT)时观察到以下BLE服务和特征: 

– 设备详细信息服务274 BC 3A 3 – 1A 52 – 4D 30 – 99 C 0 – 4DE 08 FFF 2358
    – 获取/设置电源类型:特征8D 4D 6AF 5-E562- 4DC 7 – 85 AD-842 FBF 321 C87
    – 获取/设置PowerSourceAmps:Characteristic F24 F7 C35-A5 FD-4 B 98-BCA 5 – 50 BB 5DC 8 E7 CD
    – 获取/设置应用设置状态 :特征5597 DD 46 – 7 EDD-40 CC-9904-B6934 DC 05 E19
    – 获取/设置用户ID :特征E79 C86 D4 -8106-4908-B602- 5 B61266 B2116
    – 获取/设置Latitude :Characteristic 85 F296 FC-3152- 4 EF 0 – 84 CB-FAB 8D 05432 E4
    – 获取/设置经度 :特征9253 A155 – 701 A-4582-A0 CF-5E 517 E553586
    – 获取/设置NOSStatus :Characteristic C31 D51 E5-BD 61 – 4D 09 – 95 E2-C 0 E34 ED 1224 C
    – 获取/设置电源:Characteristic C1972 E92 – 0 D 07 -4464-B312-E60 BA 5 F284 FC



– WIFI服务DFAF 46 E7 – 04 F9 – 471 C-8438-A72612619 BE 9
    – 获取/设置下一个WIFI点:Characteristic E5 DEBB 4 B-4DAC-4609-A533-B628 E5797 E91
    – Get/Set CurrentSSID:Characteristic EB61F605-DED9-4975-9235-0A5FF4941F32
    – 获取/设置WIFI安全类型:特征733 ED 10A-CD 1B-43 CA-A0 C2 – 6864 C8 DCF 7 C1
    – 获取/设置WiFi配置:Characteristic 25 A03 F00 – 1AF 2 – 44 F0 – 80 F2-D 6 F771458 BB 9
    – Get/Set ApplyStatusCode:Characteristic 3BE83845-93E4-461E-8A49-7370F790EBC4
    – Get/Set Always Empty Response Characteristic:Characteristic CED647D7-E261-41E2-8F0D-35C360AAE269



– 未知服务B67 CB 923 – 50 E4 – 41 E8-BECC-9ACD 24776887 B67 CB 923 – 50 E4 – 41 E8-BECC-9ACD 24776887
    – Get/Set Always NULL Byte Characteristic:Characteristic 7AC61302-58AB-47BA-B8AA-30094DB0B9A1

趋势科技的研究人员使用定制的BLE扫描仪对这些BLE端点进行了有限的探测。此外,Trend研究人员还对用户ChargePoint应用程序进行了逆向工程。上面清单中的名称是根据对Android应用程序代码的理解推断出来的。



ChargePoint Home Flex硬件详情


ChargePoint Home Flex在设备外壳内包含两块电路板。这些板是计量板和CPU板。



计量板上有一个MSP430微控制器。它终止了来自电源的电力连接,也终止了最终用户连接到电动汽车的充电电缆。计量板还通过计量板右上方的堆叠式PCB连接器向CPU板供电。计量板在PCB丝网印刷标记上标有标识符Panda AC 50。它拥有一个MSP430微控制器。



CPU板承载ATMEL Arm CPU、Wi-Fi无线电和蓝牙LE无线电。CPU板在PCB丝印标记上标有CPH-50 CPU。



以下是ChargePoint Home Flex Metrology板和CPU板的一些详细图片:

电动汽车充电桩攻击面解析 -- 2024 Pwn2Own Automotive目标 ChargePoint Home Flex

图1 -CPH-50 CPU板的正面



电动汽车充电桩攻击面解析 -- 2024 Pwn2Own Automotive目标 ChargePoint Home Flex  图2 -CPH-50 CPU板背面

         

电动汽车充电桩攻击面解析 -- 2024 Pwn2Own Automotive目标 ChargePoint Home Flex

图3 -ChargePoint Home Flex计量板的正面



电动汽车充电桩攻击面解析 -- 2024 Pwn2Own Automotive目标 ChargePoint Home Flex图4 -ChargePoint Home Flex计量板背面


ChargePoint Home Flex嵌入式Linux




卡巴斯基实验室此前的研究表明,该充电桩使用的是Linux操作系统。充电器硬件有一个被标识为“熊猫CPU”的板,它实现了充电器上所有可访问的攻击表面。硬件包括ARM CPU,并且设备提供JTAG调试头。之前的研究表明,这个JTAG头可以用来获得外壳访问充电器。


在对充电进行初步评估期间,趋势科技的研究人员使用了一个捕获测试网络来询问ChargePoint Home Flex。测试网络有一个Wi-Fi接入点,该接入点连接到一个网络,该网络运行一组服务,这些服务被配置为模拟充电器所需的服务。该网络具有配置为响应所有DNS A记录查询的DNS服务器,该DNS A记录查询具有来自测试网络内的IP地址。



在测试过程中,研究人员观察了DUT进行的DNS查询,并使用它试图连接的所有观察到的主机名配置DNS服务器。此外,测试网络包括被配置为响应DUT发出的网络请求的网络服务器。DUT已向以下域发出DNS请求:

ba79k2rx5jru.chargepoint.comhomecharger.chargepoint.compublish.chargepoint.com


研究人员指出,由于TLS证书颁发机构不匹配,无法建立与Web服务器的TLS连接。TLS证书颁发机构匹配的实施是一个安全优势。


ChargePoint Home Flex通过SSH连接到TCP端口343上的服务器ba79k2rx5jru.chargepoint.com。研究网络包括一个许可的SSH服务器,允许对任何用户进行身份验证。当充电器启动到测试网络中的许可SSH服务器的连接时,研究人员注意到DUT的SSH客户端启动了一个TCP端口,从SSH服务器转发到充电器上的TCP端口23。这与卡巴斯基研究报告中指出的结果相符。



总结

虽然这些可能不是ChargePoint Home Flex设备上唯一可用的攻击面,但它们代表了威胁行为者可能用来利用该设备的最有可能的途径。ChargePoint致力于提供在Pwn2Own汽车竞赛期间使用的硬件。


原文始发于微信公众号(安全脉脉):电动汽车充电桩攻击面解析 — 2024 Pwn2Own Automotive目标 ChargePoint Home Flex

版权声明:admin 发表于 2024年1月22日 下午6:19。
转载请注明:电动汽车充电桩攻击面解析 — 2024 Pwn2Own Automotive目标 ChargePoint Home Flex | CTF导航

相关文章