特斯拉充电设施被打破两次，Akamai专家谈充电设

【TechWeb】2月21日新闻，在2025年1月22日至24日举办的Pwn2Own汽车黑客比赛的第二天，参赛者两次胜利入侵特斯拉的Wall Connector电动汽车充电装备，取得了95，000美元的现金嘉奖。在这场年夜赛中，除了特斯拉充电装备外，比赛职员还胜利攻打了WOLFBOX、ChargePoint Home Flex、Autel MaxiCharger等品牌的充电装备。跟着电动汽车销量的连续攀升，寰球电动汽车充电装备市场正步入爆炸性增加阶段，依据QYResearch的调研数据，估计2030年寰球电动汽车充电装备市场范围将到达179.2亿美元。与此同时，犹如黑客比赛展现的情形，范围宏大的电动汽车充电站作为物联网（IoT）的要害构成局部，面对着严格的收集保险挑衅。不只是电动车充电装备，汽车行业的API保险成绩同样面对挑衅。Bleeping Computer数据表现，2023年有近20家汽车制作商跟效劳供给商存在API保险破绽，这些破绽使黑客可能近程解锁跟启动车辆、追踪车辆地位，并盗取车主的团体信息。别的，一些电动汽车充电站平台被发明存在API受权成绩，使得账户被接收并近程把持全部充电站。黑客能够挟制用户账户、中止充电效劳，乃至将充电站编程为“后门”，从而攻破用户的家庭收集。据媒体报道，2024年，一家韩国汽车制作商则因 API 身份验证缺点裸露了数百万辆汽车，容许攻打者经由过程车牌信息近程解锁车门、启动引擎并追踪车辆。Akamai资深处理计划技巧司理马俊表现：“IoT装备特殊轻易遭到硬件跟软件破绽的影响，而很多传统的OT体系在计划时并未斟酌到联网的保险需要。假如单一节点被攻破并绕过，可能会进一步浸透全部充电收集，招致更为重大的成果跟危险。“马俊指出，在收集拜访把持中利用“零信赖”模子对如斯要害的充电收集来说尤为主要。它可能确保只有经由验证跟受权的装备才干拜访收集资本，同时实现对全部衔接OT装备的及时监控与辨认。经由过程实行细粒度的分段把持，不只能够无效限度装备之间的通讯，还能连续监测收集流量，从而维护要害基本设备并满意合规性请求。如许可能明显晋升OT装备的收集保险性，下降了潜伏危险，并确保了营业的持续性。Akamai亚太地域跟日本保险技巧总监Reuben Koh则夸大：“跟着 API 在汽车行业中的利用一直扩展，其保险性曾经从技巧成绩改变为关联到用户隐衷、性命保险跟企业品牌名誉的中心挑衅。汽车制作商必需破即举动起来，体系性地晋升 API 的开辟、测试跟治理程度，确保技巧提高不会以就义用户保险为价值。”维护API保险须要多方面的办法，Reuben倡议企业能够重点存眷以下三个要害范畴：一、可见性。确顾全面懂得全部API，包含其用处、端点跟潜伏危险。按期审计跟监控API运动，防止将遗留或未监控的接口裸露给大众。二、破绽治理。遵守保险开辟实际，按期停止破绽扫描跟代码检察，并实时修补已知破绽。最小化攻打面是避免破绽被应用的要害。三、营业逻辑维护。树立明白的营业逻辑基线，监控异样行动，并避免针对营业逻辑的庞杂攻打，以维护要害数据跟功效。