LUXGEN 納智捷 N7 電動車存在電池管理系統(BMS)邏輯漏洞,可被誘發執行非預期的對外負載放電(V2L) - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2025-00560
  •  發信 Vendor: {LUXGEN 納智捷}
  • Title: LUXGEN 納智捷 N7 電動車存在電池管理系統(BMS)邏輯漏洞,可被誘發執行非預期的對外負載放電(V2L)
  • Introduction: 某單位電動車的電池管理系統(BMS)在處理 DIN 70121 充電流程時,完全依賴來自充電樁的通訊協定內容而未充分驗證充電介面的物理電壓狀態,導致在特定條件下可被誘發對外部負載進行非預期的電力輸出,直到車輛電持電力耗盡。

處理狀態

目前狀態

公開
Last Update : 2025/08/11
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2025/06/11 17:17:43 : 新提交 (由 sickcell 更新此狀態)
  • 2025/06/11 17:18:24 : 新提交 (由 sickcell 更新此狀態)
  • 2025/06/11 17:20:01 : 新提交 (由 sickcell 更新此狀態)
  • 2025/06/13 15:55:00 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/06/19 16:58:27 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/06/19 16:58:27 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/06/19 16:58:27 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/08/11 03:00:10 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2025-00560
  • 通報者:sickcell (sickcell)
  • 風險:高
  • 類型:其他 (Other)

參考資料

暫無資料
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

此漏洞與車輛硬體及韌體實作相關,而非特定網頁。受影響的為特定車廠的電動車款(BMS)。

敘述

使用模擬充電樁與目標電動車充電進行充電交握時,模擬充電樁僅透過通訊協定「模擬」了預充電階段(PreCharge)時的電壓爬升,而未提供任何真實的物理電壓,目標電動車充電 的電池管理系統(BMS)依然覺得此充電流程沒問題,並在進入功率傳輸階段後閉合電池接觸器,對外輸出電力。此現象可持續超過一小時以上,重複放電直到車輛電池電力耗盡為止。

漏洞重現方式:

  1. 使用模擬充電樁,並將一個外部電器負載(如燈泡)連接到車輛的 CCS1 充電埠的直流(DC)正負極上。
  2. 與目標電動車充電交握。依序完成 SessionSetupChargeParameterDiscoveryCableCheck 等階段。
  3. PreCharge 階段時,發送 PreChargeRes 封包,封包中包含模擬且正在爬升的電壓值。
  4. 受影響車輛的 BMS 未對物理電壓進行充分驗證,代表只信任來自封包的模擬電壓,並繼續完成後續的 PowerDelivery階段。
  5. BMS 閉合電池繼電器,開始對外部負載供電讓燈泡被點亮,誘發執行非預期的對外負載放電(V2L)。

影響:

  • Denial-of-Service:惡意攻擊者可利用此漏洞,在車主不知情的情況下耗盡車輛電池,導致車輛無法使用。
  • 潛在安全風險:BMS 在非預期狀態下對外供電,若外部負載特性(如阻抗、功率)異常,可能對電動車電池系統造成損壞。
  • 缺乏額外驗證機制:BMS 過度信任來自外部設備(EVSE)的通訊內容,可能會相關系統造成無法預期的損壞。

螢幕截圖說明:

圖 1 為模擬充電樁與目標電動車充電完成充電交握後,連接在其充電口的外部燈泡成功被點亮的畫面,證實能量可以從車輛電池被拉出來的現象。

圖片
圖1:繞過 BMS 系統邏輯並誘發執行非預期的對外負載放電(V2L)

修補建議

1.修改 BMS 充電邏輯:電動車製造商應更新其 BMS 韌體。對於閉合電池接觸器的邏輯,在 PreCharge 階段時,必須強制驗證 DC 針腳上的物理電壓是否與 EVSE 聲稱的電壓相符,而非僅依賴通訊協定中的參數。若不符或偵測不到電壓,應立即中止充電程序並記錄錯誤。

2.升級通訊協定:建議電動車車廠在未來設計新車款時應將 DIN 70121 跟 ISO 15118 等協定做兼容考量。任何 V2L 或 V2G 等雙向電力傳輸功能,都必須透過明確且定義在協定(如 ISO 15118-20)中的指令來使用,並取得用戶的明確授權。不應讓其成為單向充電協定下的一個可被利用的「副作用」。

3.增加多因子確認:對於沒有在標準中定義的操作,可考慮增加用戶確認行為。例如,在充電時除了可以在APP上進行雙因子認證或是在車輛中控螢幕中推送通知,要求車主手動二次確認後才能進行充電交握。能夠有效抵擋此類攻擊。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;