Разкрити са нови уязвимости в сигурността при електромобилите

Две нови слабости в сигурността, открити в няколко системи за зареждане на електрически превозни средства (EV), могат да бъдат използвани за дистанционно изключване на станциите за зареждане и дори за кражба на данни и енергия.

Откритията, направени от израелската компания SaiFlow, показват още веднъж потенциалните рискове, пред които е изправена инфраструктурата за зареждане на електрически превозни средства.

Проблемите са установени във версия 1.6J на стандарта Open Charge Point Protocol (OCPP), който използва WebSockets за комуникация между зарядните станции за EV и доставчиците на системи за управление на зарядни станции (CSMS). Настоящата версия на OCPP е 2.0.1.

„Стандартът OCPP не определя как CSMS трябва да приема нови връзки от зарядна точка, когато вече има активна връзка“, казват изследователите от SaiFlow Лионел Ричард Сапосник и Дорон Порат.

„Липсата на ясно указание за множество активни връзки може да бъде използвана от нападателите, за да прекъснат и превземат връзката между точката за зареждане и CSMS.“

Това също така означава, че кибернетичен нападател може да фалшифицира връзка от валидно зарядно устройство към неговия доставчик на CSMS, когато то вече е свързано, което на практика води до един от двата сценария:

  • Състояние на отказ на услуга (DoS), което възниква, когато доставчикът на CSMS затваря оригиналната WebSocket връзка, когато е установена нова връзка
  • Кражба на информация, която произтича от поддържането на двете връзки живи, но връщащи отговори на „новата“ измамна връзка, което позволява на противника да получи достъп до личните данни на водача, данните за кредитната му карта и данните за CSMS.

Фалшифицирането е възможно поради факта, че доставчиците на CSMS са конфигурирани да разчитат единствено на идентичността на точката за зареждане за удостоверяване.

„Комбинирането на неправилното обработване на нови връзки със слабата политика за удостоверяване на OCPP и идентичностите на зарядните устройства може да доведе до мащабна разпределена DoS (DDoS) атака в мрежата [Electric Vehicle Supply Equipment]“, казват изследователите.

В OCPP 2.0.1 е коригирана политиката за слабо удостоверяване, като се изискват идентификационни данни на точката за зареждане, с което се затваря пропускът. Въпреки това, смекчаващите мерки за случаите, когато има повече от една връзка от една точка за зареждане, трябва да изискват валидиране на връзките чрез изпращане на ping или heartbeat заявка, отбеляза SaiFlow.

„Ако една от връзките не реагира, CSMS трябва да я елиминира“, обясняват изследователите. „Ако и двете връзки реагират, операторът трябва да може да елиминира злонамерената връзка директно или чрез интегриран в CSMS модул за киберсигурност.“

Източник: The Hacker News

Подобни публикации

20 март 2023

Хакерите са се насочвали предимно към уязвимост...

Хакерите продължават да се насочват към уязвимостите от типа „...
20 март 2023

Препоръки на CISA за домашните мрежи - част1

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА За да се предотв...
20 март 2023

Windows 11 ще иска разрешение, преди да закача ...

Microsoft съобщава, че ще предостави на разработчиците нов API, кой...
19 март 2023

Winter Vivern е насочена към индийски, източное...

АРТ групата, известна като Winter Vivern, е свързана с кампании, на...
18 март 2023

Измерване на ефективността на SOC

Компаниите трябва да измерват ефективността във всички области на д...
17 март 2023

(ISC)² с програма за 1 000 000 безплатни курсов...

Искате да видите  себе си в киберсигурността? Не ви е необходим опи...
17 март 2023

Поддръжката на Microsoft краква Windows на клие...

При неочакван обрат инженер по поддръжката на Microsoft прибягва до...
16 март 2023

Фалшиво ChatGPT разширение за Chrome отвлича ак...

Установено е, че фалшиво разширение за браузър Chrome с марката Cha...
Бъдете социални
Още по темата
20/03/2023

Хакерите са се насочвали пр...

Хакерите продължават да се насочват към...
11/01/2023

Новата група Dark Pink се ц...

Атаките, насочени към правителствени агенции и...
01/12/2022

Google с обвинения към исп...

Смята се, че базираният в Барселона...
Последно добавени
20/03/2023

Хакерите са се насочвали пр...

Хакерите продължават да се насочват към...
20/03/2023

Препоръки на CISA за домашн...

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА...
20/03/2023

Windows 11 ще иска разрешен...

Microsoft съобщава, че ще предостави на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!