Зарядные станции для электромобилей уязвимы к кибератакам

Уязвимости в домашних зарядных станциях для электромобилей позволяют злоумышленникам осуществлять кибератаки с целью причинения физического ущерба. Как сообщается в недавнем отчете специалистов «Лаборатории Касперского», опытный киберпреступник может взломать зарядную станцию и отключить питание электромобиля или даже вызвать возгорание.

Электромобили стремительно набирают популярность, однако инфраструктура бесплатных зарядных станций по-прежнему малоразвита. В связи с этим пользователи все чаще покупают домашние зарядные устройства, которые можно установить непосредственно в гараже. Однако, по словам специалистов, эти устройства уязвимы к кибератакам.

Для начала исследователи «Лаборатории Касперского» проанализировали на наличие уязвимостей приложение ChargePoint Home, позволяющее удаленно управлять процессом зарядки. Как оказалось, злоумышленник может зарегистрировать в приложении нового пльзователя, подключить устройство к смартфону через Bluetooth, настроить параметры сети Wi-Fi для беспроводного подключения и завершить процесс регистрации, отправив ID нового пользователя и GPS-координаты смартфона конечному устройству. Это позволит атакующему в любое время вмешиваться в процесс зарядки и не давать электромобилю заряжаться, в результате чего его владелец может понести серьезные убытки, в том числе материальные.

Добавить в приложение нового пользователя без ведома настоящего владельца не составляет особого труда. После регистрации в приложении обойти механизм аутентификации очень просто. Злоумышленник может внедрить код JTAG в процедуру верификации пароля и успешно пройти аутентификацию с недействительным паролем.

Помимо прочего, зарядные станции оснащены встроенным сервером с включенным интерфейсом CGI, поверженным целому ряду уязвимостей. Две из них затрагивают код, ответственный за загрузку на устройство файлов из разных папок в зависимости от параметров строки запроса. Несколько уязвимостей переполнения буфера в стеке были обнаружены в коде, используемом для отправки зарядной станции различных команд, а еще одна – в коде, для выгрузки с устройства системных реестров.

Опубликовать в twitter.com

Обсуждения закрыты для данной страницы