Уразливості в домашніх зарядних станціях для електромобілів дозволяють зловмисникам здійснювати кібератаки з метою заподіяння фізичних збитків.
Уразливості в домашніх зарядних станціях для електромобілів дозволяють зловмисникам здійснювати кібератаки з метою заподіяння фізичних збитків
Фахівці «Лабораторії Касперського» подали звіт про вразливість у домашніх зарядних пристроях для електромобілів.
Уразливості в домашніх зарядних станціях для електромобілів дозволяють зловмисникам здійснювати кібератаки з метою заподіяння фізичних збитків. Як повідомляється в недавньому звіті фахівців «Лабораторії Касперського», досвідчений кіберзлочинець може зламати зарядну станцію та відключити живлення електромобіля або навіть викликати спалах.
Електромобілі стрімко набирають популярності, проте інфраструктура безкоштовних зарядних станцій, як і раніше, малорозвинена. У зв'язку з цим користувачі все частіше купують домашні зарядні пристрої можна встановити безпосередньо у гаражі. Однак, за словами фахівців, ці пристрої вразливі до кібератак.
Для початку дослідники «Лабораторії Касперського» проаналізували на наявність уразливостей додаток ChargePoint Home, що дозволяє віддалено керувати процесом заряджання. Як виявилося, зловмисник може зареєструвати в додатку нового користувача, підключити пристрій до смартфону через Bluetooth, налаштувати параметри мережі Wi-Fi для бездротового підключення і завершити процес реєстрації, надіславши ID нового користувача та GPS-координати смартфона кінцевому пристрою. Це дозволить атакуючому в будь-який час втручатися в процес зарядки і не давати електромобілю заряджатися, внаслідок чого його власник може зазнати серйозних збитків, у тому числі матеріальних.
Додати додатка нового користувача без відома справжнього власника не складає особливих труднощів. Після реєстрації в програмі обійти механізм автентифікації дуже просто. Зловмисник може впровадити код JTAG у процедуру верифікації пароля та успішно пройти автентифікацію з недійсним паролем.
Окрім іншого, зарядні станції оснащені вбудованим сервером з увімкненим інтерфейсом CGI, переможеним цілої низки уразливостей. Дві з них торкаються коду, відповідального за завантаження на пристрій файлів з різних папок залежно від параметрів рядка запиту. Декілька вразливостей переповнення буфера в стеку були виявлені в коді, що використовується для відправки зарядної станції різних команд, а ще одна - в коді, для вивантаження з пристрою реєстрів.
«Все це дає атакуючому можливість керувати процесом заряджання шляхом підключення до мережі Wi-Fi», – пояснили дослідники. Теоретично, зловмисник може збільшити силу струму та тимчасово відключити частину домашньої електромережі і навіть викликати спалах від перегріву.
Дослідники повідомили про вразливості розробників ChargePoint Home, і зараз вони вже виправлені.