ChargePoint Home Flex是一款二級電動汽車充電站，專為終端用戶在家中使用而設計。該設備在其硬件中有一個最小的用戶界面，該設備采用移動應用程序進行安裝，并滿足消費者對設備的常規(guī)操作。

通常來講，該設備的攻擊面可以分為三類。

1.ChargePoint移動應用程序

安裝人員在安裝ChargePoint Home Flex裝置時使用的ServicePro應用程序提供了一種攻擊途徑。

終端用戶在配置和使用ChargePoint Home Flex時使用的ChargePoint應用程序也提供了一個攻擊面。

2.ChargePoint Home Flex硬件

該設備包括一個嵌入式Linux主機，通過Wi-Fi與互聯網上的主機進行通信，該單元還包含一個基于德州儀器MSP430微控制器的PCB。無線通信PCB基于Atmel CPU。最后，JTAG接口可以通過無線通信PCB訪問。

3.網絡攻擊面

設備的軟件補丁是通過基于互聯網的空中傳送（OTA）更新提供的。移動應用程序用于本地通信的藍牙低能耗（BLE）終端可能會提供攻擊機會，與本地接入點的任何Wi-Fi通信都為攔截和操縱打開了機會。最后，該設備實現了開放式充電樁協(xié)議（OCPP）。該協(xié)議中的任何漏洞都將在充電器中暴露出來。

安全性研究

卡巴斯基實驗室的研究員Dmitry Skylar對ChargePoint Home Flex進行了安全評估。

ChargePoint Home Flex移動應用程序

ChargePoint提供兩種應用程序，可與Home Flex充電器一起使用，這兩個應用程序都通過藍牙低能耗（BLE）與ChargePoint Home Flex進行交互。

ChargePoint ServicePro應用程序會在終端用戶安裝設備時使用。此應用程序是使用React Native應用程序開發(fā)框架編寫的。這是一個基于JavaScript的開發(fā)框架，用于跨平臺移動應用程序開發(fā)。

以消費者為中心的ChargePoint移動應用程序旨在供最終用戶使用，以管理他們的充電偏好。

雖然我們沒有徹底調查這些應用程序的漏洞或其他漏洞，但移動應用程序中的漏洞是一個重要的攻擊表面。

ChargePoint Home Flex藍牙低能耗

ChargePoint Home Flex使用藍牙低能耗與移動應用程序進行通信。趨勢科技的研究人員使用自定義BLE掃描工具找到了充電器提供的終端。

BLE規(guī)范中定義了以下服務：

1.BLE服務設備信息：

1.1系統(tǒng)ID；

1.2 型號字符串：CPH50；

1.3序列號字符串；

1.4 程序修訂字符串：5.5.2.5；

研究人員在掃描被測設備（DUT）時觀察到以下BLE服務和功能：

2.設備詳細信息服務：274BC3A3-1A52-4D30-99C0-4DE08FFF2358：

Get/Set PowerSourceType：8D4D6AF5-E562-DC7-85AD-842FBF321C87特點；

Get/Set PowerSourceAmps：F24F7C35-A5FD-4B98-BCA5-50BB5DC8E7CD特點；

Get/Set Apply Settings Status：5597DD46-7EDD-40CC-9904-B693DC05E19特點；

Get/Set UserId：E79C86D4-8106-4908-B602-5B61266B2116特點；

Get/Set Latitude：85F296FC-3152-4EF0-84CB-FAB8D05432E4特點；

Get/Set Longitude：9253A155-701A-4582-A0CF-5E517E553586特點；

Get/Set NOSStatus：C31D51E5-BD61-4D09-95E2-C0E34ED1224C特點；

Get/Set Power Source：C1972E92-0D07-4464-B312-E60BA5F284FC特點；

3.無線上網服務DFAF46E7-04F9-471C-8438-A72612619BE9

Get/Set NextWIFIAccessPoint：E5DEB4B-4DAC-4609-A533-B628E5797E91特點；

Get/Set CurrentSSID：EB61F605-DED9-4975-9235-0A5F4941F32特點；

Get/Set WIFISecurityType：733ED10A-CD1B-43CA-A0C2-6864C8DCF7C1特點；

Get/Set WiFi Configuration：25A03F00-1AF2-44F0-80F2-D6F771458BB9特點；

Get/Set ApplyStatusCode：3BE83845-93E461E-8A49-737F790EBC4特點；

Get/Set Always Empty Response Characteristic：CED647D7-E261-41E2-8F0D-35C360AAE269特點；

3.未知服務B67CB923-50E4-41E8-BECC-9ACD24776887：Get/Set Always NULL Byte Characteristic，7AC61302-58AB-47BA-B8AA-0094DB0B9A1特點；

趨勢科技的研究人員使用自定義的BLE掃描儀對這些BLE終端進行了有限的探測。此外，趨勢科技的研究人員對最終用戶ChargePoint應用程序進行了逆向工程。上表中確定的名稱是根據對Android應用程序代碼的理解推斷出來的。

ChargePoint Home Flex硬件詳細信息

ChargePoint Home Flex包括位于設備shell內的兩塊電路板，分別是計量板和CPU板。

計量板包含一個MSP430微控制器。它終止了與電源的電源連接，還終止了最終用戶連接到電動汽車的充電電纜。計量板還通過堆疊在計量板右上方的PCB連接器為CPU板供電。計量板在PCB絲網標記上標記有Panda AC 50標識符，它擁有一個MSP430微控制器。

CPU板承載ATMEL Arm CPU、Wi-Fi無線電和藍牙LE無線電，CPU板在PCB絲網標記上標記為CPH-50 CPU。

以下是一些詳細介紹ChargePoint家用Flex計量板和CPU板的圖片:

CPH-50 CPU板正面

CPH-50 CPU板背面

ChargePoint Home Flex計量板正面

ChargePoint Home Flex計量板背面

ChargePoint Home Flex嵌入式Linux

卡巴斯基實驗室先前的研究表明，該充電器使用Linux操作系統(tǒng)。充電器硬件有一個確定為“Panda CPU” 板，它實現了充電器上所有可訪問的攻擊面。硬件包括一個ARM CPU，該設備提供一個JTAG調試接頭。先前的研究表明，這種JTAG接頭可以用來獲得shell對充電器的訪問權限。

在對充電器的初步評估中，趨勢科技的研究人員使用了一個捕獲測試網絡來詢問ChargePoint Home Flex。測試網絡有一個運行的Wi-Fi接入點，該接入點連接到運行一組服務的網絡，該服務被配置為模擬充電器所需的服務。該網絡具有一個DNS服務器，該網絡有一個DNS服務器，它被配置為使用測試網絡中的IP地址響應所有DNS A-record查詢。

在測試過程中，研究人員觀察了DUT進行的DNS查詢，并用其試圖連接的所有觀察到的主機名配置了DNS服務器。此外，測試網絡還包括一個web服務器，該服務器被配置為響應DUT提出的網絡請求。DUT已向以下域發(fā)出DNS請求：ba79k2rx5jru.chargepoint.com；

homecharger.chargepoint.com；

publish.chargepoint.com；

研究人員指出，由于TLS證書頒發(fā)機構不匹配，向web服務器發(fā)起的TLS連接無法建立。強制執(zhí)行TLS證書頒發(fā)機構匹配是一種安全優(yōu)勢。

ChargePoint Home Flex通過SSH連接到TCP端口343上的服務器ba79k2rx5jru.ChargePoint.com。該研究網絡包括一個允許對任何用戶進行身份驗證的SSH服務器。當充電器啟動與測試網絡中允許的SSH服務器的連接時，研究人員注意到DUT的SSH客戶端啟動了從SSH服務器轉發(fā)到充電器上的TCP端口23的TCP端口。這與卡巴斯基研究報告中提到的結果相吻合。

ba79k2rx5jru.chargepoint.com

homecharger.chargepoint.com

publish.chargepoint.com

研究人員指出，由于TLS證書頒發(fā)機構不匹配，向web服務器發(fā)起的TLS連接無法建立。強制執(zhí)行TLS證書頒發(fā)機構匹配是一種安全優(yōu)勢。

ChargePoint Home Flex在TCP端口343上通過SSH連接到服務器ba79k2rx5jru.chargepoint.com。研究網絡包括一個允許對任何用戶進行身份驗證的授權SSH服務器。當充電器啟動連接到測試網絡中的許可SSH服務器時，研究人員注意到來自DUT的SSH客戶端啟動了一個TCP端口，從SSH服務器返回到充電器上的TCP端口23，這與卡巴斯基研究報告中提到的結果相符。

總結

雖然這些可能不是ChargePoint Home Flex設備上唯一可用的攻擊面，但它們代表了攻擊者可能用來利用該設備的最可能途徑。

文章翻譯自：https://www.zerodayinitiative.com/blog/2023/9/7/looking-at-the-chargepoint-home-flex-threat-landscape如若轉載，請注明原文地址