Jest bardzo źle, to raj dla oszustów. Eksperci sprawdzili zabezpieczenia ładowarek do samochodów
Specjaliści ds. cyberbezpieczeństwa postanowili sprawdzić poziom cyfrowych zabezpieczeń ładowarek do pojazdów elektrycznych. Obawy się potwierdziły: to plac zabaw dla cyberprzestępców.
- Przedsiębiorstwa dzielą się na dwie grupy: na firmy technologiczne i firmy, które jeszcze nie wiedzą, że są technologiczne – nie pamiętam autora tych słów, ale samą mądrość zapamiętałem. W istocie: niezależnie od branży czy skali operacyjnej, każde przedsiębiorstwo musi wdrożyć i rozwijać technologie cyfrowe. Inaczej nie będzie miało szans z konkurencją, która już to zrobiła. Niestety, nie każdy to potrafi.
Czytaj też: Porsche Taycan: Warszawa-Wrocław bez ładowania
Niemal każda branża świeżo po transformacji cyfrowej ma zawsze problem z jednym, niezwykle ważnym aspektem: z cyberbezpieczeństwem. Pozyskanie, stworzenie i wdrożenie wydajnych i użytecznych cyfrowych rozwiązań to jedno. Administrowanie nimi i zapewnianie bezpieczeństwa to osobne kwestie. Aktualnie boom cyfrowy przeżywają wyspecjalizowani dostawcy energii, za sprawą rosnącej popularności elektrycznych samochodów. I podobnie jak wielu nuworyszów przed nimi mają poważne problemy z cyberbezpieczeństwem.
Ładowarki samochodowe z poważnymi lukami zabezpieczeń. Od wielu różnych dostawców.
Inżynierowie z Pen Test Partners zbadali ładowarki do samochodów elektrycznych od sześciu różnych dostawców, a także od dostawców publicznych. Właściwie jedyny dostawca, jaki zdał egzamin, to Rolec. Badacze znaleźli poważne luki w zabezpieczeniach ładowarek Project TV, Wallbox, EVBox, EO Hub, EO Mini Pro 2, Hypervolt i Chargepoint.
Najbardziej dziurawym elementem zazwyczaj okazuje się usługa dla kierowcy, dzięki której może on zdalnie sprawdzać stan ładowania pojazdu przez aplikację na telefon. Użytkownik może też zarządzać ładowaniem – co może wykorzystać włamywacz. Ponoć przejęcie kontroli przez protokoły wykorzystywane przez te aplikacje jest nietrudne dla wykwalifikowanej osoby. Ta wówczas może włączać i wyłączać ładowanie bez wiedzy posiadacza pojazdu.
Co więcej, specjaliści wykryli, że oprogramowanie ładowarek domowych – tych zazwyczaj montowanych w garażach – może być furtką do ataku na inne urządzenia. Szczególnie jeśli te spięte są w sieć smart home, wówczas pokonanie zabezpieczeń ładowarki wiąże się z ryzykiem utraty kontroli nad innym urządzeniem.
Prawdopodobnie da się za darmo naładować samochód. Zapłaci inny użytkownik.
Badacze z Pen Test Partners nie znaleźli żadnych dowodów na możliwość przejęcia kontroli nad cudzym kontem u dostawcy energii przez dziurawą ładowarkę. Mając jednak na względzie bardzo liche zabezpieczenia tych urządzeń oraz ograniczony czas na badania, ostrzegają, że jest wysoce prawdopodobne, że i takie luki bezpieczeństwa czekają, aż odnajdzie je jakiś haker. Może się okazać, że kierowca otrzyma kosztowny rachunek za ładowania, których nigdy nie wykonał.
Na szczęście ci sami badacze sprawdzili, czy złamanie zabezpieczeń ładowarki może doprowadzić do uszkodzenia podłączonego do niej pojazdu. Udało im się zmodyfikować parametry pracy jednej z ładowarek, ale wówczas odkryli, że oprogramowanie samochodu reaguje poprawnie i zabezpiecza akumulatory przed przeładowaniem. Haker musiałby więc najpierw złamać zabezpieczenia oprogramowania pojazdu, by móc przejętą w osobnym ataku ładowarką poczynić jakąś szkodę.
