Търсене
Close this search box.

Разкрити са нови уязвимости в сигурността при електромобилите

Две нови слабости в сигурността, открити в няколко системи за зареждане на електрически превозни средства (EV), могат да бъдат използвани за дистанционно изключване на станциите за зареждане и дори за кражба на данни и енергия.

Откритията, направени от израелската компания SaiFlow, показват още веднъж потенциалните рискове, пред които е изправена инфраструктурата за зареждане на електрически превозни средства.

Проблемите са установени във версия 1.6J на стандарта Open Charge Point Protocol (OCPP), който използва WebSockets за комуникация между зарядните станции за EV и доставчиците на системи за управление на зарядни станции (CSMS). Настоящата версия на OCPP е 2.0.1.

„Стандартът OCPP не определя как CSMS трябва да приема нови връзки от зарядна точка, когато вече има активна връзка“, казват изследователите от SaiFlow Лионел Ричард Сапосник и Дорон Порат.

„Липсата на ясно указание за множество активни връзки може да бъде използвана от нападателите, за да прекъснат и превземат връзката между точката за зареждане и CSMS.“

Това също така означава, че кибернетичен нападател може да фалшифицира връзка от валидно зарядно устройство към неговия доставчик на CSMS, когато то вече е свързано, което на практика води до един от двата сценария:

  • Състояние на отказ на услуга (DoS), което възниква, когато доставчикът на CSMS затваря оригиналната WebSocket връзка, когато е установена нова връзка
  • Кражба на информация, която произтича от поддържането на двете връзки живи, но връщащи отговори на „новата“ измамна връзка, което позволява на противника да получи достъп до личните данни на водача, данните за кредитната му карта и данните за CSMS.

Фалшифицирането е възможно поради факта, че доставчиците на CSMS са конфигурирани да разчитат единствено на идентичността на точката за зареждане за удостоверяване.

„Комбинирането на неправилното обработване на нови връзки със слабата политика за удостоверяване на OCPP и идентичностите на зарядните устройства може да доведе до мащабна разпределена DoS (DDoS) атака в мрежата [Electric Vehicle Supply Equipment]“, казват изследователите.

В OCPP 2.0.1 е коригирана политиката за слабо удостоверяване, като се изискват идентификационни данни на точката за зареждане, с което се затваря пропускът. Въпреки това, смекчаващите мерки за случаите, когато има повече от една връзка от една точка за зареждане, трябва да изискват валидиране на връзките чрез изпращане на ping или heartbeat заявка, отбеляза SaiFlow.

„Ако една от връзките не реагира, CSMS трябва да я елиминира“, обясняват изследователите. „Ако и двете връзки реагират, операторът трябва да може да елиминира злонамерената връзка директно или чрез интегриран в CSMS модул за киберсигурност.“

Източник: The Hacker News

Подобни публикации

10 септември 2024

Как да създадем и подобрим сигурността на крайн...

Поради голямата си атакувана повърхност, съставена от различни набо...
10 септември 2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно преслед...
10 септември 2024

Използването на търговски шпионски софтуер се з...

Усилията на САЩ и други правителства да ограничат разработването, и...
10 септември 2024

300 000 души са засегнати от пробива на данните...

Avis Car Rental уведомява близо 300 000 души, че личната им информа...
10 септември 2024

Двама са обвинени в САЩ за организиране на паза...

САЩ повдигнаха обвинения на гражданин на Казахстан и гражданин на Р...
9 септември 2024

Шпионският софтуер Predator се появи отново с н...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
9 септември 2024

Един милион клиенти на Kaspersky в САЩ са прехв...

Клиентите на Kaspersky в Съединените щати са уведомени, че абонамен...
9 септември 2024

CISA сигнализира за грешки в ICS в продуктите н...

Миналата седмица американската Агенция за киберсигурност и инфрастр...
9 септември 2024

Progress LoadMaster е уязвим към недостатък на ...

Progress Software издаде спешна поправка за уязвимост с максимална ...
Бъдете социални
Още по темата
29/08/2024

Как поуките от кампанията п...

Президентската кампания през 2016 г. навлизаше...
06/08/2024

Критична уязвимост на Apach...

Критична уязвимост в сигурността преди удостоверяване...
12/07/2024

AT&T: Всички клиенти на...

Мащабният пробив в данните на AT&T,...
Последно добавени
10/09/2024

Как да създадем и подобрим ...

Поради голямата си атакувана повърхност, съставена...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

Използването на търговски ш...

Усилията на САЩ и други правителства...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!