Разкрити са нови уязвимости в сигурността при електромобилите

Две нови слабости в сигурността, открити в няколко системи за зареждане на електрически превозни средства (EV), могат да бъдат използвани за дистанционно изключване на станциите за зареждане и дори за кражба на данни и енергия.

Откритията, направени от израелската компания SaiFlow, показват още веднъж потенциалните рискове, пред които е изправена инфраструктурата за зареждане на електрически превозни средства.

Проблемите са установени във версия 1.6J на стандарта Open Charge Point Protocol (OCPP), който използва WebSockets за комуникация между зарядните станции за EV и доставчиците на системи за управление на зарядни станции (CSMS). Настоящата версия на OCPP е 2.0.1.

„Стандартът OCPP не определя как CSMS трябва да приема нови връзки от зарядна точка, когато вече има активна връзка“, казват изследователите от SaiFlow Лионел Ричард Сапосник и Дорон Порат.

„Липсата на ясно указание за множество активни връзки може да бъде използвана от нападателите, за да прекъснат и превземат връзката между точката за зареждане и CSMS.“

Това също така означава, че кибернетичен нападател може да фалшифицира връзка от валидно зарядно устройство към неговия доставчик на CSMS, когато то вече е свързано, което на практика води до един от двата сценария:

  • Състояние на отказ на услуга (DoS), което възниква, когато доставчикът на CSMS затваря оригиналната WebSocket връзка, когато е установена нова връзка
  • Кражба на информация, която произтича от поддържането на двете връзки живи, но връщащи отговори на „новата“ измамна връзка, което позволява на противника да получи достъп до личните данни на водача, данните за кредитната му карта и данните за CSMS.

Фалшифицирането е възможно поради факта, че доставчиците на CSMS са конфигурирани да разчитат единствено на идентичността на точката за зареждане за удостоверяване.

„Комбинирането на неправилното обработване на нови връзки със слабата политика за удостоверяване на OCPP и идентичностите на зарядните устройства може да доведе до мащабна разпределена DoS (DDoS) атака в мрежата [Electric Vehicle Supply Equipment]“, казват изследователите.

В OCPP 2.0.1 е коригирана политиката за слабо удостоверяване, като се изискват идентификационни данни на точката за зареждане, с което се затваря пропускът. Въпреки това, смекчаващите мерки за случаите, когато има повече от една връзка от една точка за зареждане, трябва да изискват валидиране на връзките чрез изпращане на ping или heartbeat заявка, отбеляза SaiFlow.

„Ако една от връзките не реагира, CSMS трябва да я елиминира“, обясняват изследователите. „Ако и двете връзки реагират, операторът трябва да може да елиминира злонамерената връзка директно или чрез интегриран в CSMS модул за киберсигурност.“

Източник: The Hacker News

Подобни публикации

26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
26 септември 2023

Разликите между локалната и облачната киберсигу...

Разликата между управлението на киберсигурността в локални и облачн...
26 септември 2023

Нов вариант на BBTok е насочен към над 40 банк...

Активна кампания за зловреден софтуер, насочена към Латинска Америк...
25 септември 2023

Правилата за API на TikTok затрудняват анализа ...

Според учени новите условия за достъп на изследователите до API на ...
Бъдете социални
Още по темата
02/09/2023

Okta предупреждава за атаки...

Доставчикът на услуги за идентификация Okta...
30/08/2023

Разследването на нарушениет...

В заявление до главния прокурор на...
20/08/2023

Уязвимост в WinRAR

В WinRAR, популярната програма за архивиране...
Последно добавени
26/09/2023

WatchGuard получи най-висок...

WatchGuard е обявена за лидер в...
26/09/2023

WatchGuard с награда за отл...

Имаме удоволствието да споделим, че WatchGuard...
26/09/2023

Рансъмуерът Akira мутира и ...

Откакто се появи като заплаха през...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!