卡巴斯基：可连网的家用电动车充电器漏洞，可让骇客随意控制充电甚至引发火灾

就在各国政府纷纷祭出补贴或优惠措施以推动电动车之际，家用的电动车充电器也成为热门商品，然而，卡巴斯基实验室（ Kaspersky Lab）上周发布一报告，指出由ChargePoint所打造的ChargePoint Home充电器含有众多安全漏洞，将允许骇客掌控该装置，包括让它无法充电，甚至是酿成火灾。

市场上已存在许多电动车充电器供应商，诸如知名的ABB、GE，或是其它小型业者，也有不少业者以“远端控制充电程序”作为产品行销口号，允许使用者利用手机上的行动程式来控制充电器，只是这类连网的充电器也更容易成为骇客下手的目标，卡巴斯基即选中ChargePoint Home进行分析。

ChargePoint Home装置上含有一个启用了通用闸道界面（Common Gateway Interface，CGI）的网页服务器。研究人员发现，CGI的众多程式中含有一系列的安全漏洞，可被骇客用来接管装置，其中有两个漏洞藏匿在用来将档案上传到装置上不同文件夹的程式，而不管是传送命令到充电器的程式，或者是用来下载系统纪录的程式都含有堆叠缓冲区溢位（stack buffer overflow）漏洞。

上述所有的漏洞都将允许骇客借由连结攻击目标的Wi-Fi网络来控制充电程序。

于是骇客将可调整充电时的最大电流，暂时关闭用户家中电力系统的某些部分，当装置的连结不正确时，可能因电线过热而酿成火灾；也能随时中止汽车的充电程序，限制汽车可行驶的距离，而造成经济上的损失。

ChargePoint在接获卡巴斯基的研究报告之后已修补了相关漏洞，研究人员则认为，业者应该好好思考在充电器上提供无线界面的必要性，因为它所带来的安全风险往往超越了优点。