充电桩现在已经是开车一族不可或缺的好朋友了(中石化/中石油警告!),而伴随着加油站员工的饭碗日渐不保的,是智能化充电桩、充电站的不断普及。安全研究人员为了保护“两桶油”的既得利益,在NDSS 2023会议上发表了研究论文 ChargePrint: A Framework for Internet-Scale Discovery and Security Analysis of EV Charging Management Systems,对当前智能充电站管理系统的安全提出了挑战:
总结一下,在这篇论文中,作者的研究对象——Electric Vehicle Charging Management System(EVCMS)是那种用来管理Electric Vehicle Charging Station(EVCS,可能一个station就是我们说的一个充电桩?)的系统(此处的CMS并非web上常用的CMS)。作者开发了一个名字叫做ChargePrint的框架,在互联网上首先去搜索EVCMS的存在。在网上找到了44个EVCMS之后,进一步分析(黑掉?)它们,然后发现了27439个在线的EVCS,同时提交(刷)了120个0-day漏洞,拿到了超过20个CVE!
首先让我们来了解一下智能充电站构成的这个生态环境的一些基本架构和工作流程:
为了寻找互联网上的EVCMS,作者祭出四大搜索引擎:Shodan、Censys、Zoomeye(嘿嘿这才是真正的民族自信嘛)和Fofa,利用常见的一些关键字和特征信息,搜索到公网上可访问的一些EVCMS入口(如下边两幅图所示,施耐德和CSWI的EVCMS界面)。同时,还利用搜索引擎去寻找各种EVCMS相关的固件,然后借助binwalk分析。
通过各种特征定位到EVCMS网站并收集相关的固件只是第一步,而且整个这个流程其实非常经验化,只有经常做实战的人才会知道这些方法是挺合乎逻辑的,考虑到审稿人喜欢形式化一点的东西,作者于是又进一步提供了看起来非常“科学”的方法——提出了一种称为DOMetric的相似性测度,用这个测度来衡量一个网页和已知的EVCMS系统的相似度,还提供了一套计算公式。看起来是不是很合理?不过编辑部怀疑再过几年写论文,就让ChatGPT直接编一套更加形式化流程,也许能骗过某些审稿人?
既然有相似性分析,那就少不了各种聚类/分类方法(也许这篇论文的作者也在三周年前我们搞阅读推荐的第一天就读了我们推荐的相似性分析的文章?)的优劣比较:
作者这套基于已知的特征,在搜索引擎的帮助下不断发现新的EVCMS的方法效果还是不错的,看看下图就知道,通过学习已有的特征,迭代地搜寻新的EVCMS,最后发现的站点数量要高一个数量级。
经过了好几页关于如何发现EVCMS(如何聚类)的讨论,我们终于可以进入到安全分析的内容了。不幸的是,这部分内容(下图右边)看起来很高大上,但是显得有点空洞……或者说吧,论文的Section III.B(Security Analysis)给大家提供了一个如何把渗透测试写得像模像样的范例(完了ChatGPT的魔爪又要伸过来了)。
所以我们还是来看看最终的实验结果吧,这篇论文的亮点其实是它的measurment(挖洞结果):
可以看到传统的安全问题一大堆(SQL注入、XXE、SSRF和XSS这种)。然后看看受影响的充电站的分布。没想到匈牙利和芬兰是重灾区(嗯,肯定是去年俄罗斯断供天然气的影响)
受影响的厂商可以按照下面的结果去自查自纠了~
最后我们给准备论文投稿的同学一个小小的建议,现在写投稿顶会,在相关工作这部分,简单的文字描述,效果可能不好。最好是弄一些表格之类的,本文作者就给我们了一个很好(也很卷)的范例:
论文PDF:https://www.ndss-symposium.org/wp-content/uploads/2023/02/ndss2023_s84_paper.pdf
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2023-02-15 充电桩之战
