0x01 简介

勒索攻击引起了研究人员的广泛关注，然而针对车辆的勒索，尤其是电动汽车（Electric Vehicle, EV）的研究相对较少。 此类攻击主要通过利用车辆自身的漏洞来达到目的，但往往攻击面较窄。

在这个使用真实电动汽车和公共充电桩的攻击案例展示了一种新方法，即充电桩勒索攻击 (Charging Pile Ransom Attack, CPRA)，它可以通过电动汽车和充电桩之间的充电连接器远程勒索电动汽车。 此外，设计了一个用于充电连接器的物理插件，可以扩展受上述勒索攻击影响的 EV 模型。 在这种情况下，CPRA 需要一个准备步骤来在连接器上本地安装插件。

0x02 充电桩勒索攻击

攻击准备： 假设攻击者通过逆向设备微控制器单元固件获取了充电桩应用层协议报文格式和弱认证漏洞。 然后攻击者可以伪装成目标充电桩通过网络与服务器通信，使目标充电桩停用。 安全的充电过程不允许车辆在充电时断开充电连接器，部分车辆的充电连接器接口会处于死锁状态，直到其充电桩停止供电。 强行断开，比如剪断线缆可能引发触电风险，损坏公共充电桩可能引发法律纠纷。

攻击目标：在攻击者不接近充电电动汽车的情况下，使其无法停止充电或离开充电桩终端，直到受害者向攻击者支付赎金。

攻击过程：充电桩勒索攻击流程如上图所示。实验证明，充电桩勒索攻击在大众 ID.4 和国内相当一部分公共第三方充电桩（包括 TELD 和 Starcharge）上是有效的。 具体过程包括：

(1) 离线攻击：攻击者向服务器发送虚假报文，将充电桩目标终端服务器端的状态更改为离线，从而消除受害者在App上的充电订单。 然后攻击者停止攻击。

(2) 充电桩恢复在线状态后，攻击者发起新命令接管充电过程。

(3) 同时通过App上的通讯通道向受害者匿名发送勒索信息。

(4) 在支付赎金之前，攻击者将停止充电过程并放行车辆。

扩展受影响的模型：研究者发现一些EV车型，如ROEWE rx5和Tesla model S通过检测充电接口的充电确认(Charging Confirmation，CC)信号来控制接口的死锁状态，即通过检测该路径的电路阻抗。当按下充电连接器上的开关时，CC 信号发生变化，然后这些 EV 将退出死锁状态。 为了使充电桩勒索攻击在这些模型上有效，为充电连接器设计了一个隐藏的物理插件，可以欺骗接口接收到的信号。 换句话说，这个物理插件通过固定 CC 电路阻抗来禁用充电连接器上的开关，从而使这些 EV 无法解锁死锁状态。 如下图所示，该插件由金属环、专用排线和绝缘套组成。 电缆设计有特定电阻（例如 220Ω 用于 GB/T AC 连接器）以保持 CC 信号到位，不影响充电桩的正常功能，并且从外部几乎看不见。 实验验证了此插件对前面提到的 EV 模型有效。

漏洞披露：已经通过 GeekPwn 竞赛组织者报告了公共充电桩的漏洞，将所描述的勒索攻击通知供应商。所有测试的电动汽车都归作者所有，因此测试不会影响任何普通用户。

攻击的视频演示： https://github.com/Moriartysherry/ransom

参考链接：https://www.ndss-symposium.org/wp-content/uploads/2023/02/vehiclesec2023-23024-paper.pdf

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)