W domach mamy coraz więcej urządzeń łączących się z internetem. W założeniach mają one ułatwiać życie, ale należy pamiętać, że niosą ze sobą również zagrożenia – dokładniej mogą zawierać luki bezpieczeństwa. Słabe zapieczenia odkryto właśnie w domowych ładowarkach samochodów elektrycznych.
Luki w domowych i publicznych ładowarkach
Patrząc na ostatnie zmiany na rynku motoryzacji, wyraźnie widoczny jest trend elektryfikacji. Oznacza to, że liczba publicznych stacji ładowania będzie sukcesywnie wzrastać, a w domowa ładowarka będzie coraz częstym elementem wyposażenia garażu.
W celu zapewnienia pełnej funkcjonalności, jak chociażby zdalne sterowanie z poziomu mobilnej aplikacji, ładowarki łączą się z internetem. W związku z tym, ich producenci muszą zadbać o odpowiednio wysoki poziom bezpieczeństwa i odporność na ewentualne cyberataki. Niestety, jak udowadnia raport Pen Test Partners w tej kwestii jest jeszcze sporo do poprawy.
Firma zajmująca się cyberbezpieczeństwem odkryła kilka luk w interfejsach API sześciu popularnych marek domowych urządzeń służących do ładowania samochodów elektrycznych. Ponadto problemy z bezpieczeństwem znaleziono również w dużej sieci publicznych stacji ładowania – Chargepoint. Winny okazał się m.in. protokół Open Charge Point Interface, który nie posiada odpowiednich zabezpieczeń, a także błędy w autoryzacji użytkowników.
Luki zostały zidentyfikowane w ładowarkach marek Project EV, Wallbox, EVBox, EO Charging, Rolec i Hypervolt. Warto mieć na uwadze, że chociażby produkty Wallbox cieszą sporym zainteresowaniem wśród właścicieli samochodów elektrycznych i już teraz montowane są w wielu domach.
Cyberprzestępca ma spore możliwości po przejęciu ładowarki
Czy skutecznie przeprowadzony atak stanowi zagrożenie dla użytkownika? Niestety, ale tak. Jak wskazują badacze bezpieczeństwa, złamanie zabezpieczeń może umożliwić m.in. przejęcie kont użytkowników, utrudnie procesu ładowania, a nawet otwarcie drogi do zaatakowania całej domowej sieci i innych podłączonych urządzeń.
Z kolei w przypadku publicznych stacji ładowania cyberprzestępca może chociażby zdalnie wyłączyć lub włączyć ładowarkę. Ponadto, może dojść do kradzieży energii elektrycznej, obciążając kartę osoby aktualnie korzystającej z ładowarki.
Co więcej, Ken Munro z Pen Test Partners, w wywiadzie udzielonym dla serwisu TechCrunch, zwraca uwagę, że niektóre ładowarki korzystają z Raspberry Pi. Według badacza ten niewielki komputer nie jest zbyt dobrym wyborem dla rozwiązań komercyjnych, bowiem nie posiada „bezpiecznego bootloadera”. Sprawia to, że każdy z fizycznym dostępem do ładowarki może w łatwy sposób zdobyć m.in. dane uwierzytelniające Wi-Fi.
Badacze zauważają jeszcze, że potencjalnie można synchronicznie włączać i wyłączać wszystkie ładowarki, więc istnieje możliwość spowodowania problemów ze stabilnością sieci energetycznej ze względu na duże wahania zapotrzebowania na moc.
Najwyższy czas na zmiany
Firma Pen Test Partners słusznie zauważa, że obecnie mamy do czynienia z wyścigiem we wprowadzaniu i produkowaniu ładowarek. Celem jest przede wszystkim sprostanie rosnącym wymaganiom i popularyzacji samochodów elektrycznych, zarówno w kwestii publicznych sieci ładowania, jak i także domowych ładowarek.
Niestety ten pęd, niezbyt dobrze uregulowany prawnie i pod względem bezpieczeństwa, prawie taśmowo dostarcza możliwych zagrożeń dla użytkowników. Badacze mają nadzieję, że opublikowany raport, dokładnie opisujący odkryte luki bezpieczeństwa, przełoży się na zmiany i wdrożenie niezbędnych zabezpieczeń.
Warto dodać, że niektórzy producenci dość sprawnie odpowiedzieli na raport Pen Test Partners i wyeliminowali luki bezpieczeństwa. Nie oznacza to jednak, że temat zabezpieczeń został zamknięty. Obawiam się, że to dopiero początek odkrywania podatności w ładowarkach samochodów elektrycznych.
