新能源汽车充电系统曝安全漏洞，可伪造身份验证窃取数据

【新能源汽车充电系统曝安全漏洞，可伪造身份验证窃取数据】：最近的网络安全研究中发现，在多个电动汽车 充电系统中发现的 2 个新的安全漏洞可被利用来远程关闭充电站，甚至可以实现数据窃取和偷电的攻击。安全研究人员表示，OCPP 标准没有定义 CSMS 充电站管理系统应该如何在已经存在活跃连接的情况下接受来自充电点的新连接。攻击者可能会利用缺乏针对多个活动连接的明确指南来破坏和劫持充电点与 CSMS 充电站管理系统之间的连接。由于 CSMS 充电站管理系统提供商被配置为仅依赖充电点身份进行身份验证，因此使得伪造成为可能。OCPP 2.0.1 标准通过要求充电点凭据来修复弱身份验证策略，从而堵住了漏洞。