شرکت امنیت سایبری بریتانیا Pen Test Partners چندین آسیب پذیری را در API های شش مارک شارژ خودروهای برقی خانگی و یک شبکه بزرگ عمومی شارژ EV شناسایی کرده است. در حالی که سازندگان شارژر اکثر مشکلات را حل کرده اند ، یافته ها جدیدترین نمونه از دنیای ضعیف دستگاه های اینترنت اشیا است که در خانه ها و وسایل نقلیه ما همه گیر شده است.

آسیب پذیری ها در API شش مارک مختلف شارژ EV – Project EV ، Wallbox ، EVBox ، EO Charging’s EO Hub و EO mini pro 2 ، Rolec و Hypervolt – و شبکه شارژ عمومی Chargepoint مشخص شد. محقق امنیتی Vangelis Stykas چندین نقص امنیتی را در بین مارک های مختلف شناسایی کرده است که می تواند به هکرهای مخرب اجازه دهد حساب های کاربری را ربوده ، مانع شارژ شوند و حتی یکی از شارژرها را به یک “در پشتی” به شبکه خانگی مالک تبدیل کنند.

پیامدهای هک به شبکه ایستگاه های شارژ عمومی می تواند شامل سرقت برق به حساب حساب رانندگان و روشن یا خاموش کردن شارژرها باشد.

رزبری پای در شارژر Wallbox. (تصویر: همکاران آزمایش قلم (در پنجره جدیدی باز می شود))

برخی از شارژرهای EV از ماژول محاسبه Raspberry Pi استفاده می کردند ، رایانه ای کم هزینه که اغلب توسط علاقه مندان و برنامه نویسان استفاده می شود.

کن مونرو ، بنیانگذار Pen Test Partners ، به TechCrunch گفت: “Pi یک پلت فرم محاسباتی سرگرمی و آموزشی است ، اما به نظر ما برای برنامه های تجاری مناسب نیست زیرا چیزی که به عنوان” بوت لودر امن “شناخته می شود را ندارد. “این بدان معناست که هرکسی که دسترسی فیزیکی به خارج از خانه شما دارد (از این رو به شارژر شما) می تواند آن را باز کرده و اعتبار Wi-Fi شما را بدزدد. بله ، این خطر کم است ، اما من فکر نمی کنم که فروشندگان شارژر باید ما را در معرض خطر بیشتری قرار دهند. “

مونرو گفت ، هک ها “واقعاً نسبتاً ساده هستند”. وی افزود: “من می توانم این کار را در پنج دقیقه به شما آموزش دهم.”

گزارش این شرکت که آخر هفته گذشته منتشر شد ، آسیب پذیری های مربوط به پروتکل های نوظهور مانند رابط شارژ نقطه باز را که توسط بنیاد EVRoaming نگهداری و مدیریت می شود ، لمس کرد. این پروتکل به گونه ای طراحی شده است که شارژ بین شبکه های مختلف شارژر و اپراتورها یکپارچه شود.

Munro آن را به رومینگ با تلفن همراه تشبیه کرد و به رانندگان اجازه داد از شبکه های خارج از شبکه شارژ معمول خود استفاده کنند. OCPI در حال حاضر به طور گسترده ای استفاده نمی شود ، بنابراین این آسیب پذیری ها می توانند خارج از پروتکل طراحی شوند. اما Stykas توضیح داد که اگر مورد توجه قرار نگیرد ، می تواند به این معنی باشد که “آسیب پذیری در یک پلت فرم به طور بالقوه آسیب پذیری دیگری را ایجاد می کند.”

هک شدن ایستگاه های شارژ به یک تهدید بسیار خطرناک تبدیل شده است زیرا سهم بیشتری از حمل و نقل الکتریکی شده و نیروی بیشتری از طریق شبکه برق جریان می یابد. شبکه های برقی برای نوسانات زیاد مصرف برق طراحی نشده اند – اما این دقیقاً همان چیزی است که می تواند اتفاق بیفتد ، اگر یک هک بزرگ باعث روشن یا خاموش شدن تعداد کافی شارژرهای سریع DC شود.

مونرو گفت: “برای بارگیری بیش از حد لازم نیست که شبکه برق را خاموش کنید.” “ما سهوا سلاح سایبری ساخته ایم که دیگران می توانند علیه ما استفاده کنند.”

“غرب وحشی” امنیت سایبری

در حالی که تأثیرات روی شبکه الکتریکی منحصر به شارژرهای EV است ، مسائل مربوط به امنیت سایبری چنین نیست. هک های معمول مسائل بومی بیشتری را در دستگاه های اینترنت اشیا نشان می دهد ، جایی که اولین حضور در بازار اغلب بر امنیت صدا اولویت دارد – و در آنجا تنظیم کننده ها به سختی می توانند با سرعت نوآوری کنار بیایند.

جاستین بروکمن ، مدیر سیاست حفظ حریم خصوصی و فناوری مصرف کننده در گزارشات مصرف کننده ، در مصاحبه اخیر خود با TechCrunch گفت: “در حال حاضر اجرای چندانی وجود ندارد.” اجرای امنیت داده ها در ایالات متحده در محدوده کمیسیون تجارت فدرال است. بروکمن می گوید: “در حالی که یک قانون عمومی برای حمایت از مصرف کننده در این کتابها وجود دارد ،” ممکن است ساختن سیستمی که امنیت ضعیفی دارد غیرقانونی باشد ، فقط این است که آیا شما علیه آن مجبور خواهید شد یا نه. “

لایحه فدرال جداگانه ، قانون بهبود امنیت سایبری اینترنت اشیا ، در سپتامبر گذشته تصویب شد ، اما فقط به طور گسترده در مورد دولت فدرال اعمال می شود.

فقط کمی بیشتر در سطح ایالت حرکت می کند. در سال 2018 ، کالیفرنیا با تصویب لایحه ای رمز عبور پیش فرض در لوازم الکترونیکی مصرفی جدید را از سال 2020 ممنوع کرد – مطمئناً پیشرفت مفیدی است ، اما تا حد زیادی بار امنیت داده ها را بر عهده مصرف کنندگان می گذارد. کالیفرنیا و همچنین ایالت هایی مانند کلرادو و ویرجینیا نیز قوانینی را به تصویب رسانده اند که نیاز به اقدامات امنیتی منطقی برای دستگاه های اینترنت اشیا دارد.

چنین قوانینی شروع خوبی است. اما (خوب یا بد) FTC مانند سازمان غذا و داروی ایالات متحده نیست ، که محصولات مصرفی را قبل از ورود به بازار بررسی می کند. در حال حاضر ، هیچ بررسی امنیتی روی دستگاه های فناوری قبل از رسیدن آنها به مصرف کنندگان وجود ندارد. در انگلستان ، “اینجا غرب وحشی است ، همین الان ،” مونرو گفت.

برخی از شرکت های نوپا ظهور کرده اند که در تلاش برای حل این مشکل هستند. یکی Thistle Technologies است که تلاش می کند به تولیدکنندگان دستگاه های اینترنت اشیا کمک کند تا مکانیسم هایی را برای دریافت به روزرسانی های امنیتی در نرم افزار خود ادغام کنند. اما بعید است که این مشکل تنها در پشت صنعت خصوصی حل شود.

از آنجا که شارژرهای EV می توانند تهدیدی منحصر به فرد برای شبکه برق باشند ، این احتمال وجود دارد که شارژرهای EV تحت محدوده یک لایحه زیرساخت حیاتی قرار گیرند. هفته گذشته ، رئیس جمهور جو بایدن با انتشار یادداشتی خواستار امنیت سایبری بیشتر برای سیستم های مرتبط با زیرساخت های حیاتی شد. بایدن گفت: تخریب ، تخریب یا نقص سیستم هایی که این زیرساخت ها را کنترل می کنند می تواند صدمات قابل توجهی به امنیت ملی و اقتصادی ایالات متحده وارد کند. این که آیا این امر به محصولات مصرف کننده نیز سرایت می کند ، یک سوال دیگر است.

کالیفرنیا قانونی را تصویب کرد که گذرواژه های پیش فرض را در دستگاه های متصل ممنوع می کند


منبع Tech Crunch