Търсене
Close this search box.

Разкрити са нови уязвимости в сигурността при електромобилите

Две нови слабости в сигурността, открити в няколко системи за зареждане на електрически превозни средства (EV), могат да бъдат използвани за дистанционно изключване на станциите за зареждане и дори за кражба на данни и енергия.

Откритията, направени от израелската компания SaiFlow, показват още веднъж потенциалните рискове, пред които е изправена инфраструктурата за зареждане на електрически превозни средства.

Проблемите са установени във версия 1.6J на стандарта Open Charge Point Protocol (OCPP), който използва WebSockets за комуникация между зарядните станции за EV и доставчиците на системи за управление на зарядни станции (CSMS). Настоящата версия на OCPP е 2.0.1.

„Стандартът OCPP не определя как CSMS трябва да приема нови връзки от зарядна точка, когато вече има активна връзка“, казват изследователите от SaiFlow Лионел Ричард Сапосник и Дорон Порат.

„Липсата на ясно указание за множество активни връзки може да бъде използвана от нападателите, за да прекъснат и превземат връзката между точката за зареждане и CSMS.“

Това също така означава, че кибернетичен нападател може да фалшифицира връзка от валидно зарядно устройство към неговия доставчик на CSMS, когато то вече е свързано, което на практика води до един от двата сценария:

  • Състояние на отказ на услуга (DoS), което възниква, когато доставчикът на CSMS затваря оригиналната WebSocket връзка, когато е установена нова връзка
  • Кражба на информация, която произтича от поддържането на двете връзки живи, но връщащи отговори на „новата“ измамна връзка, което позволява на противника да получи достъп до личните данни на водача, данните за кредитната му карта и данните за CSMS.

Фалшифицирането е възможно поради факта, че доставчиците на CSMS са конфигурирани да разчитат единствено на идентичността на точката за зареждане за удостоверяване.

„Комбинирането на неправилното обработване на нови връзки със слабата политика за удостоверяване на OCPP и идентичностите на зарядните устройства може да доведе до мащабна разпределена DoS (DDoS) атака в мрежата [Electric Vehicle Supply Equipment]“, казват изследователите.

В OCPP 2.0.1 е коригирана политиката за слабо удостоверяване, като се изискват идентификационни данни на точката за зареждане, с което се затваря пропускът. Въпреки това, смекчаващите мерки за случаите, когато има повече от една връзка от една точка за зареждане, трябва да изискват валидиране на връзките чрез изпращане на ping или heartbeat заявка, отбеляза SaiFlow.

„Ако една от връзките не реагира, CSMS трябва да я елиминира“, обясняват изследователите. „Ако и двете връзки реагират, операторът трябва да може да елиминира злонамерената връзка директно или чрез интегриран в CSMS модул за киберсигурност.“

Източник: The Hacker News

Подобни публикации

28 февруари 2024

Китай стартира нов план за киберзащита на индус...

Тази седмица Министерството на промишлеността и информационните тех...
28 февруари 2024

Уязвимостта на плъгина WordPress LiteSpeed изла...

В плъгина LiteSpeed Cache за WordPress е разкрита уязвимост в сигур...
28 февруари 2024

Xeno RAT се превръща в мощна заплаха в GitHub

В GitHub е публикуван „сложно проектиран“ троянски кон ...
28 февруари 2024

Хакването на Optum е свързано с рансъмуера Blac...

Кибератаката срещу дъщерното дружество на UnitedHealth Group Optum,...
28 февруари 2024

Новата версия на IDAT loader използва стеганогр...

Хакерска група, проследена като „UAC-0184“, е забелязан...
28 февруари 2024

DOOM идва в интелигентните косачки Husqvarna

Ако някога сте искали да играете DOOM на косачка за трева, скоро ще...
28 февруари 2024

Белият дом призовава да се премине към езици за...

Службата на националния кибердиректор на Белия дом (ONCD) призова д...
28 февруари 2024

Предимства на включването на услугата MDR в офе...

Кибератаките се развиват и стават все по-усъвършенствани, а организ...
Бъдете социални
Още по темата
26/01/2024

Citrix открива 2 уязвимости...

Тези уязвимости са втората и третата...
04/01/2024

Кибератаки са насочени към ...

Миналата седмица група хакери се насочи...
28/12/2023

EasyPark разкрива нарушение...

Разработчикът на приложения за паркиране EasyPark...
Последно добавени
28/02/2024

Китай стартира нов план за ...

Тази седмица Министерството на промишлеността и...
28/02/2024

Уязвимостта на плъгина Word...

В плъгина LiteSpeed Cache за WordPress...
28/02/2024

Xeno RAT се превръща в мощ...

В GitHub е публикуван „сложно проектиран“...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!