10月24日，一年一度的“白帽黑客”對(duì)決盛會(huì)GeekPwn2020國(guó)際安全極客大賽在上海舉辦，來(lái)自騰訊的參賽隊(duì)伍Blade Team亮相賽場(chǎng)，并成功實(shí)現(xiàn)了對(duì)“無(wú)感支付”式直流充電樁的漏洞攻擊演示。

在比賽中，‌Blade Team安全研究員模擬攻擊者身份，僅需獲得模擬受害者的車(chē)輛身份標(biāo)識(shí)，并使用特殊設(shè)備連接“無(wú)感支付”直流充電樁與汽車(chē)，就能利用充電樁通信協(xié)議漏洞，輕松完成“盜刷”操作。

[[348180]]

此次Blade Team發(fā)現(xiàn)的漏洞是國(guó)內(nèi)首個(gè)充電樁行業(yè)安全漏洞，影響面大、修復(fù)難度高，對(duì)于行業(yè)健康發(fā)展具有很強(qiáng)的風(fēng)險(xiǎn)提示價(jià)值。

當(dāng)前，我國(guó)新能源汽車(chē)行業(yè)正蓬勃發(fā)展，充電樁作為新基建的重點(diǎn)領(lǐng)域之一，同時(shí)也是新能源汽車(chē)最重要的基礎(chǔ)設(shè)施，其安全性不容小視。

而即插即充、無(wú)感支付更是當(dāng)前充電樁行業(yè)的主流發(fā)展趨勢(shì)，采用“無(wú)感支付”技術(shù)的充電樁僅需在初次綁定環(huán)節(jié)對(duì)用戶(hù)進(jìn)行身份認(rèn)證，充電時(shí)即可自動(dòng)識(shí)別車(chē)輛身份標(biāo)識(shí)，在充電完成后從綁定賬戶(hù)中進(jìn)行相應(yīng)扣款。

作為騰訊安全平臺(tái)部一支專(zhuān)注前沿技術(shù)領(lǐng)域安全的研究團(tuán)隊(duì)，Blade Team率先關(guān)注到充電樁行業(yè)的安全研究空白，并憑借此前在物聯(lián)網(wǎng)、硬件等技術(shù)領(lǐng)域的積累，展開(kāi)對(duì)“無(wú)感支付”式充電樁的深入研究。

據(jù)了解，此次發(fā)現(xiàn)的漏洞屬于充電通信協(xié)議層面缺陷，采用相同技術(shù)方案的“無(wú)感支付”式直流充電樁均受其影響。目前騰訊Blade Team已通過(guò)GeekPwn官方向相關(guān)廠(chǎng)商提交漏洞細(xì)節(jié)，并將協(xié)助廠(chǎng)商進(jìn)行修復(fù)。