据外媒报道，数百个特斯拉的Powerwall备份网关可能已经暴露在来自互联网的远程黑客攻击之下，但特斯拉表示已采取措施减少风险。

特斯拉Powerwall是一款家用储能产品，使用电池存储太阳能电池板或电网的电力，确保用户即使在停电时也能继续供电。本产品的备份网关组件用于能源管理和监控，负责控制接入电网，检测断电情况，切换备用电源。

过去，至少有两个研究小组对该产品进行了分析，包括对备份网关的各种未文档化的API调用和潜在的漏洞。经验丰富的安全研究小组“黑客的选择”的成员在今年早些时候透露，远程攻击者可能会造成破坏，因为通常通过Wi-Fi连接互联网的网关有一个保护不当的管理界面。

获得管理界面访问权限的攻击者可以控制从电网充电并将电池充电回电网的过程。攻击者迫使电池在电价较贵的时段从电网充电，在电价较便宜的时段卸载充电，可能会造成经济损失。

研究人员当时还警告说，攻击者在充电和倾倒之间快速切换，可能会对Powerwall设备甚至是变电站造成损害。

网络安全公司Rapid7的研究人员也分析了备份网关，周二他们报告称，自2020年1月以来，他们一共观察到了379个备份网关。这一数字主要包括家用电池，但专家认为其中一些是商用级别的特斯拉电源组系统，其体积要比家用电池大得多。

Rapid7表示，其中160台网关设备位于美国，还有大量设备位于意大利和法国。

该公司解释说，由于备份网关在HTTPS端口443上暴露了一个web服务器，所以暴露的设备很容易在网上找到。一旦设备被识别，由于使用了弱默认凭证，访问它可能并不困难。具体来说，第一次登录的密码是网关序列号的后五个字符，可以从多种渠道获得，包括设备上的标签、手机app、以及网关广播的Wi-Fi接入点的名称(这使得攻击更容易进行)。

“我对互联网上的这些设备的数量感到相当警惕，”互联网搜索引擎Censys的前主任、现任CTO德里克·阿伯丁解释说。“这个数字可能相对较低，但考虑到这些设备都是能够处理高压和电流的大型电池，恶意操作可能会导致潜在的物理伤害。”即使它们没有通过配置较弱的家庭路由器连接互联网，也可以查明这些路由器，并从这些路由器转向局域网来控制它们。”

Rapid7在发布其博客文章之前向特斯拉披露了其调查结果。特斯拉表示，公司已经采取了一些措施来提高身份验证的安全性，并计划在未来推出更多安全功能。（文章来源：E安全）