特斯拉壁掛式連接器:簡要概述
隨著電動車普及率的飆升,不起眼的家用充電器如今被安置在家庭線路和高壓電池之間。壁掛式交流充電器(例如特斯拉第三代壁掛式連接器)的功能遠不止於閉合繼電器。透過其近距離感應和控制引導線路,它可以協商安全電流限值、監控充電狀態,並越來越多地支援更高級別的協議,允許公用事業公司限制充電負載,甚至從車輛電池中回收電能。 大多數製造商透過將電力線通訊 (Power Line Communication, PLC) 和 ISO 15118 協定堆疊疊加到 Control Pilot 導線上來實現車輛與充電器之間的通訊。然而,特斯拉採取了不同的方法,將同一根導線改造成 33.3 kbps 的單線控制器區域網路 (Controller Area Network, CAN) 匯流排,這項設計選擇沿用自初代 Model S。初始握手後,標準 CAN 幀開始傳輸,使車輛和充電器能夠交換韌體、配置數據和遙測數據,而無需額外的通訊硬體。
單線 CAN 本身並非漏洞。然而,由於它覆蓋了整個充電電纜,任何手持電動車充電器連接器的人都實體連接到一個私有診斷網路。這種延伸範圍實際上將特斯拉壁掛式連接器置於車輛的安全邊界內,因此有必要像審核任何車載電子控制單元 (ECU) 一樣嚴格地審核其韌體。
一、背景與事件概述
2025 年 1 月,全球知名的 Pwn2Own Automotive(汽車安全漏洞競賽)在日本東京的 Automotive World 展開。這場由 VicOne 與 Trend Micro 的 Zero Day Initiative(ZDI)主辦、Tesla 贊助的賽事,邀請安全研究者透過挑戰性的方式,公開發現並示範零日漏洞(zero-day vulnerabilities),旨在促進整個汽車(尤其是電動車與智慧汽車)相關生態的資安提升。比賽三天內,共揭露了 49 件獨立零日漏洞,獲得總獎金高達約 886,250 美元,而來自 Summoning Team 的 Sina Kheirkhah 憑藉其卓越表現獲得「Master of Pwn」稱號,累計奪得最多獎金與點數。
其中最令人震撼的成果之一,是 Synacktiv 團隊對 Tesla Wall Connector(第三代家用 EV 充電樁)的全鏈條攻擊,成功實現遠端代碼執行(RCE)。此舉揭示了基礎設施層級的漏洞可能被濫用,對整個電動車供電設備(Electric Vehicle Supply Equipment, EVSE)產業、車聯網以及智慧家居構成嚴重威脅。
二、漏洞鏈(Exploit Chain)細節拆解
2.1 裝置背景與通訊機制
Tesla Wall Connector 是一款裝載 Wi-Fi 的交流充電裝置,不僅控制高壓電流的開關,也能與 Tesla 雲端通訊、遠端監控、上傳遙測資訊。它使用一條承載單線 Controller Area Network(Single-Wire CAN)的通訊方式,透過 CP(Control Pilot)訊號線來傳輸資料。這類設計讓充電線纜本身成為一個通訊通道。
2.2 攻擊部署流程
Synacktiv 的研究者依序完成以下步驟:
協議與信號分析
利用邏輯分析儀監控 CP 線,在車樁啟動充電後,用戶端訊號從 1 kHz PWM 轉為 33.3 kbps 的單線 CAN 流量,出現固定 ID 的心跳封包。
模擬信號環境
使用微控制器(如 Raspberry Pi)搭配改造的 USB-to-CAN 轉換器(替換成 NCV7356,並調整為 33 kbps CAN)與離散電路,模擬 Type 2 手把的 PWM 與心跳封包,使車樁誤判連接真實車輛。
進入 UDS 診斷模式
通過模擬握手與鑰匙驗證(XOR 與 0x35 的固定回應),進入 Unified Diagnostic Services(UDS)模式,取得閃存寫入權限。
韌體回滾與注入 Debug Shell
安裝舊版本韌體(如 0.8.58),該版本包含未保護的 Debug Shell。此 Shell 沒有記憶體安全措施(如 DEP/ASLR),可被崩潰漏洞利用導致 RCE。
橫向移動至家用網路
攻擊者透過 UDS 取得 Wi-Fi SSID 與 PSK,並透過 Debug Shell 的 buffer overflow 漏洞遠端執行任意指令,進一步滲透至家庭或企業網路。
2.3 漏洞挖掘與 ATM 對映
研究報告將整個攻擊鏈條對映至 Automotive Threat Matrix(ATM)模型中,具體包含:
ATM-T0071(Unintended Vehicle Network Message):注入單線 CAN traffic
ATM-T0039(ECU Credential Dumping):ReadDataByIdentifier 接收 Wi-Fi 憑證
ATM-T0054(Reprogram ECU for Lateral Movement):刷入 Legacy 韌體建立 Debug Shell
ATM-T0033(Bypass UDS Security Access):XOR 固定密鑰繞過認證
ATM-T0069(Local Function):可控制繼電器與 LED
ATM-T0053(Remote Services):對外開放 Telnet Shell 遠程操作
2.4 修補與披露流程
Synacktiv 團隊在 Pwn2Own 賽事中公開駭入過程後,透過協調披露機制(CVD)將漏洞報告給 Tesla。Tesla 隨後於韌體版本 24.44.3 中加入 anti-downgrade 機制,防止韌體回滾攻擊,有效修補漏洞。
三、該漏洞對產業的廣泛意涵
3.1 充電樁成為安全薄弱點
當 EV 充電設備不再只是「電源開關」,而同步接入家庭網路、雲端平台與車載系統,其攻擊面急劇擴大。若存在類似 RCE 漏洞,攻擊者不僅能中斷充電功能,甚至能滲透至車內或控管系統,進行更深層操作。
3.2 跨領域傳輸通路的交叉風險
此案例凸顯充電樁是跨域的攻擊節點:一端介於能源供應,另一端連入車輛網絡與智慧家庭網路系統,一旦被攻破,能構成連鎖破壞與資訊竊取的跳板。
3.3 標準與供應鏈安全的重要性
傳統充電協議如 ISO 15118、IEC 61851 等未充分考量信號注入與韌體防護等攻擊面。業界應強制建立韌體簽章檢查、反降級機制與入侵偵測。更廣泛而言,充電裝置供應商、設備營運商與汽車製造商間的協作,需要更嚴密的供應鏈安全策略。
3.4 市場與監管趨勢
如中國已頒布關於車輛網路安全與資料出口控制的新法規,以及要求實施車用資安管理系統(CSMS)等。不論是 CE 法規、UNECE R-155,或 ISO/SAE 21434,均傾向強化資安整合與監管追蹤能力,而這類漏洞正提醒業界缺口迫在眉睫。
四、整體安全建議與未來展望
4.1 對製造商與設備供應商的建議
強化韌體升級安全性:包括韌體簽章驗證、反降級保護、唯一 ID 與版本控制
強制記憶體安全防護策略:啟用 DEP/ASLR 等措施,限制 Shell 功能與命令執行
啟用入侵偵測與異常通訊防護:在充電裝置內部加設 IDS,以及極限訊號異常監控
設計隔離架構:避免 CP 單線 CAN 暴露至未受保護狀態,使用網路閘道與 VLAN 分割隔離
實踐協調披露流程:鼓勵安全研究者參與,設立漏洞懸賞(bug bounty)與快速回應體系
4.2 對車輛製造商與資安規劃者的建議
將外部充電基礎設施設計納為安全邊界:如同車內 ECU,需同步進行風險評估
建立生態系统安全合作機制:車主網路、家庭/商用網路及公共充電網絡應共同制定安全標準
納入動態分析與回溯稽核能力:一旦有異常狀態發生,可追蹤攻擊起源與影響範圍
4.3 未來發展趨勢與長期策略
推動「軟體定義車輛(SDV)」時代資安內建:從硬體、通訊協定、雲端至 OTA,全面設計防護機制
融入 AI 驅動的入侵行為分析:即時監控 CP/CAN 異常與韌體異常行為
考慮後量子加密與供應鏈安全技術:避免未來量子技術破解,目前系統需留有升級空間
制定 EVSE 安全認證標準:明確充電站設備應符合資安檢測與合格標準,納入市場準入門檻
結語
Synacktiv 在 Pwn2Own Automotive 2025 中對 Tesla Wall Connector 的攻擊示範,揭露了一個簡約設備所帶來的重大安全風險,也讓業界重新評估充電器在資安格局中的地位。未來 EV 應用環境中,充電基礎設施不僅是能源供應節點,更是潛在攻擊入口,應被列為資安保護重點。唯有通過跨域合作、制度規範與技術提升,才能構築安全而可靠的電動車生態,確保智慧交通時代的穩健與信任。
資料來源:https://www.vicone.com/zh/blog/from-pwn2own-automotive-2025-unpacking-the-tesla-wall-connector-exploit-chain-and-its-broader-cybersecurity-implication