A Schneider EVLink autós töltőállomásai könnyen rögzíthetők voltak a hardcoded jelszónak köszönhetően – a TechCrunch


A Schneider három sebezhetőséget rögzített az egyik népszerű elektromos autós töltőállomásán, amelyek szerint a biztonsági kutatók könnyen megengedhették volna, hogy a támadó távolról átvegye az egységet.

A legrosszabb esetben a támadó kényszerítheti a csatlakoztatott járművet, hogy hagyja abba a töltést, és ez egy „szolgáltatásmegtagadási állapotban” használhatatlanná válik.

A hibákat egy olyan szoftverfrissítéssel rögzítették, amely szeptember 2-án hamarosan kihúzódott, miután a hibákat először nyilvánosságra hozták, és a hibákat korlátozott részletekkel fedezték fel egy támogató dokumentumban december 20-án. A York-i biztonsági cég, a Positive Technologies, ma megjelent – majdnem egy hónappal később.

A Schneider EVLink töltőállomásai minden formában és méretben találhatók – néhány a garázsfal és néhány benzinkútnál. A pozitív töltőállomások irodákban, szállodákban, bevásárlóközpontokban és parkolóházakban vannak, amelyek sérülékenyek.

A Positive nyilvánosságra hozatalának középpontjában a Schneider EVLink Parkoló elektromos töltőállomásai állnak, amelyek a Schneider által forgalmazott, és többnyire lakáskomplexumokhoz, saját parkolóhoz, irodákhoz és önkormányzatokhoz forgalmazott töltő termékek. Ezek a töltőállomások, mint mások, minden elektromos és dugaszolható hibrid elektromos járműhöz vannak tervezve, beleértve a Teslas-t is, amelyek saját saját csatlakozóval rendelkeznek.

Mivel az EVLink Parkolóállomás internetkapcsolattal csatlakoztatható a Schneider felhőjéhez, akár cellán, akár szélessávú kapcsolaton keresztül, a Positive azt mondta, hogy a töltőegység webalapú felhasználói felületét bárki távolról is elérheti, és könnyen küldhet parancsokat a töltésre állomás – még használat közben is.

„A hacker megállíthatja a töltési folyamatot, átkapcsolhatja a készüléket a foglalási módra, ami hozzáférhetetlenné tenné bármelyik ügyfél számára, amíg a foglalási mód ki nem kapcsol, és még a töltés feloldása közben is feloldja a kábelt a manipulálással a foglalat záró nyílásával, ami azt jelenti, hogy a támadók sétáljon a kábellel ”- mondta Positive.

„Az elektromos járművezetők számára ez azt jelenti, hogy nem tudjuk használni a járművüket, mivel nem lehet felszámolni” – mondta.

A pozitív nem mondta, hogy mi volt az eltávolított jelszó, de a kíváncsiságot figyelembe véve megkérdeztük és frissítjük, ha visszahívunk.

A kutatók Vladimir Kononovich és Vyacheslav Moskvin is találtak még két hibát, amelyek a támadó számára teljes hozzáférést biztosítanak egy eszközön keresztül – egy kód injekciós hiba és egy SQL injekciós sebezhetőség. Mindkettőt ugyanabban a szoftverfrissítésben rögzítették.

A Schneider nem válaszolt egy észrevételi kérelemre. Ha ez megváltozik, frissítjük.

További jelentések: Kirsten Korosec.