近年来，随着纯电和混动汽车数量的爆炸式增长，其配套的充电桩的需求也呈直线攀升趋势。不过，这些充电桩可能面临着独特的网络安全风险。只要黑客们掌握了足够的相关信息，他们不但能够远程关闭供电网络，甚至会入侵和篡改汽车的设置。下面，我们将深入讨论此类至关重要的安全问题。

为什么电动汽车充电桩会存在网络安全风险？

2021年，美国曾宣布其目标是在现有 10 万个充电站点的基础上，再增加 50 万个站点，并已投资了多达 150 亿美元。作为物联网（IoT）设备，各种被分散部署的电动汽车充电桩在其所处的生态系统中，由于设备鲜少得到更新，运行过程中缺乏监管，因此可能存在着安全漏洞，面临着攻击威胁，以及隐私泄漏等网络安全隐患。

与此同时，由于被部署在光线昏暗且人迹罕至的泊车处，电动汽车充电桩的电子硬件本身，也容易受到物理攻击与破坏。

谁更容易受到此类网络安全风险的攻击？

其实，每个使用电动汽车充电桩、或在车联网上操作车辆的人，都有可能遭遇网络安全攻击。当然，由于快速充电的成本较高，大多数人往往会选择慢充来节省花销。而这会造成黑客有了更加充裕的时间，从物联网渗透到车机系统的可能性会更高，给用户带来的损失也就更大。

电动汽车充电桩将会怎样受到攻击？

如前所述，鉴于充电桩地理环境的特点，各种外部物理连接往往比较脆弱，而且存在各种潜在的安全风险。例如，制造商和安装人员通常会将电动汽车充电桩，集成到现有楼宇的自动化管理系统中，以监控充电状态和使用情况。那么，究竟会有哪些已知的攻击面会被利用，进而给充电桩、及其电动汽车带来网络安全事故呢？

1. 恶意数据注入：黑客可以通过收集充电桩（特别是扫码充电）的网络密钥，向系统后台与用户的网络会话中，注入恶意数据。
2. 虚假显示信息：黑客可以利用恶意软件，来篡改和伪造显示屏上与用户身份、电量信息、以及消费金额等相关的数据。
3. 中断充电会话：黑客可以使用功率不到 1 瓦的软件定义无线电（software-defined radio），在离充电桩近 155 英尺的距离，以无线的方式强制终止当前的充电会话。
4. 篡改 WiFi：对于那些家用充电桩而言，攻击者可以利用家里网络中的系统漏洞为跳板，篡改充电桩、以及其他已连入WiFi的设备配置信息。

目前，随着电动汽车的需求量和用户基数的不断攀升，这些攻击会越来越频繁的出现在我们的生活中。

网络安全风险会给电动汽车充电桩带来哪些后果？

信息欺骗、数据盗窃、会话中断、以及系统篡改通常是电动汽车充电桩受到攻击后产生的主要后果。此外，如下潜在的严重后果也不容忽视：

1. 隐私泄漏：黑客会利用电动汽车与充电桩的物理连接，从中窃取用户的个人身份信息（如用来付费的信用卡号码）。同时，由于公共充电桩缺乏传输层的安全，因此其极易受到侧信道的攻击（side-channel attacks）。
2. 分布式拒绝服务（Distributed denial-of-service，DDoS）攻击：如果黑客通过 DDoS 攻击去系统性地劫持充电桩，就可能导致整个电网的瘫痪。2019 年，纽约大学坦登（Tandon）分校的研究人员发现，他们只需要同时利用 1,000 个电动汽车充电桩连接，就能让一个城市的某个区域陷入停电状态。
3. 凭证盗窃：通过恶意数据的注入，黑客可以窃取用户的合法凭证，进而欺骗电动汽车执行非法操作。例如，他们可以利用此类方法，去劫持与充电桩的已连接会话，并且发起伪装攻击。
4. 中间人攻击：作为第三者，黑客可以冒充充电桩和电动车的任意一方，发起中间人攻击。轻者，他们可能会成功窃电，重者则会伪造故障错误，阻止电动汽车的后续充电。
5. 中断充电会话：黑客极有可能通过提取车辆的 GPS 数据，来查看并获悉充电桩的位置，从而干扰后续的充电过程。其效果类似于 DDoS 攻击。

可见，只要获得足够的知识，黑客只需利用几辆正在充电的电动汽车，就能够让整个电网瘫痪。同时，他们也可以进行大规模的身份盗窃活动，甚至直接让汽车无法运行。

充电桩漏洞的罪魁祸首

联邦政府、特斯拉、以及最大的公共充电桩业务供应商Electrify America（大众集团旗下的充电桩公司）都应该对网络安全负有主要负责。2023 年 1 月，一个攻击者仅使用手机，便完全控制了Electrify America公司的一个公共充电桩。由于充电桩的屏幕上居然显示了疑似后端的内容，因此面对如此显而易见的漏洞，他只用了几秒钟就攻进了充电桩的内部电脑。

好在他的后续举动只是为了向其追随者展示该漏洞，并证明只要有更多的知识，就可以据此窃取个人身份信息。虽然 Electrify America 通过发表声明对其行为提出了警告，并指出未经授权的访问可能会导致严重的犯罪行为，但是该公司除了含糊其辞地表示将开展调查之外，并未立即采取后续行动。

哪些国家正在解决此类网络安全问题

虽然一些政府和公司已采取了积极的措施，来解决电动汽车充电桩的网络安全问题，但是截至 2023 年，这尚未形成普遍的行业要求。正是由于没有标准化的协议可循，因此，整体网络的中任何一个薄弱环节，都可能给所有系统带来安全风险。

业内专家预计，到 2035 年，电动汽车将占新车销售量的 45%，并使得所有乘用车中有近 50%是电动汽车。而且各国政府的激励措施可能会进一步提高这一数字。既然很快就会有更多的电动汽车上路，那么谁来监控并确保它们的安全呢？

英国是少数几个已采取措施，加强充电桩网络安全的国家之一。它要求充电桩具备凭证认证，数据加密，以及信息删除等特性。同时，业务供应商还必须定期提供更新，以尽量减少漏洞被利用的机会。

而截至 2023 年，美国联邦公路管理局和交通部，只为政府资助的项目制定了最低的网络安全标准。虽然这些标准是朝着正确方向迈出的第一步，但是其适用范围仍然比较狭窄。

因此，为了解决电动汽车充电桩的网络安全问题，政府必须深度介入，规定最低限度的安全措施、以及针对消费者的安全要求。

电动汽车充电桩未来的网络安全

综上所述，目前，由于运营公司、安装人员、以及连接的建筑物，对于网络安全的要求尚较为宽松，因此我们可以说大多数充电桩是并不安全的。随着各国政府加强监管和法律法规的出台，以及各个业务供应商、运营商的合规实施，作为未来消费者必备的交通工具，电动汽车及其配套充电桩的网络安全态势，势必得到显著提高。