Laadpassen voor elektrische auto’s al jaren gevoelig voor fraude
Laadpassen voor elektrische auto’s zijn al jaren fraudegevoelig, waardoor het mogelijk is om op kosten van iemand anders de auto op te laden, zo laat cybersecuritybedrijf Vest vandaag op basis van eigen onderzoek weten. Vanaf het aanvraagproces voor een pas tot aan het gebruik en betalen voor de dienst gaat het mis, aldus onderzoeker Alexander van Ee.
Een laadpas voor een elektrische auto is online aan te vragen. "En controle op juistheid van gegevens is er niet, zo heb ik verschillende keren een bankrekeningnummer gebruikt dat helemaal niet van de aanvrager was", aldus Van Ee. Zo vroeg de onderzoeker een pas aan op naam van Mark Rutte met daarbij het rekeningnummer van de Belastingdienst. "Dat zou natuurlijk absoluut niet de bedoeling moeten zijn."
Volgens de verstrekker van de laadpas moet die eerst worden geactiveerd voordat die te gebruiken is, maar dat blijkt niet echt noodzakelijk. Bij een aantal van de aangevraagde passen kan de auto worden opgeladen zonder dat de pas daadwerkelijk geactiveerd is. Verder blijkt dat de beveiliging van de chip op de laadpassen minimaal is. Kopiëren van een bestaande pas is relatief eenvoudig. De op de chip wel aanwezige beveiligingsmogelijkheden worden namelijk niet gebruikt.
Het blijkt ook eenvoudig om pasnummer te achterhalen, die daarna te koppelen zijn aan herschrijfbare passen en vervolgens te gebruiken. "Het kan maar zo zijn dat iemand in bijvoorbeeld Portugal ineens op zijn factuur ziet dat hij een laadsessie had in een willekeurig stadje in Nederland", merkt Van Ee op. De reeks gebruikte pasnummers is dusdanig klein, dat bij een bruteforce-aanval relatief snel een bruikbaar pasnummer is te vinden.
Druppelladen
De onderzoeker ontdekte ook dat het mogelijk is om elektrische auto's gratis op te laden door middel van 'druppelladen'. Gebruikers gaan namelijk pas na een minuten laden betalen. Door middel van een apparaatje zoals de Flipper Zero is het mogelijk om korte oplaadsessies van een minuut te automatiseren en zo de auto 'vol te druppelen'.
"De geconstateerde gebreken om het betalen van elektrisch laden minder fraudegevoelig te maken lijkt een collectieve tekortkoming. Om die reden wordt de aandacht gevraagd om dit ook collectief naar een voor de consument betrouwbaarder niveau te brengen", stelt het cybersecuritybedrijf. Dat stelt dat het oplossen en voorkomen van misbruik van de aangetoonde problemen het doel is. "Niemand mag het risico lopen onnodig gedupeerd te worden."
On Topic: Niet vebaasd dat e.e.a (weer) zo lek is als een zeef. Die laadpasseninfrastructuur mag natuurlijk weer niets kosten. ;-)
Het blijft toch interessant dat er vaak gekozen wordt voor een relatief eenvoudige manier van kaart validatie.
Waar ligt de oorsprong van deze keuze? De aanname dat misbruik dermate minimaal is, dat de kosten van een duurdere oplossing niet interessant zijn?
Dit probleem zie je helaas bij veel oplossingen waarbij een 'draadloze' manier van authenticeren wordt aangeboden.
Zoals fietskluizen, toegangpoorten van ouderewoningen, toegangdruppels van bedrijven.
De wereld wordt opeens een zeer interessante "openwerkplek" als je met apparaten als een FlipperZero rondloopt.
De vraag is sta je als consument in je recht om een hogere beveiligdsstandaad te eisen?
Of heb je simpelweg te dealen met de, goedkope, keuze van de aanbieder?
Druppelladen klinkt leuk maar zie je jezelf al 12 uur staan bij een laadpaal om iedere keer de sessie te starten? Laden start op laagste niveau en wordt opgebouwd, en als dat na een minuut weer wordt onderbroken start de hele cyclus opnieuw. Theoretisch leuk maar in de praktijk niet uitvoerbaar.
Het wachten is op een betaalterminal op de laadpaal. Probleem opgelost.
leveranciers kiezen er immers zelf voor om nog gebruik te maken van Mifare Classic.
Je kan ook een mywheels auto huren voor 15 minuten en dan copie maken van het oplaad kaart of chipje welk ze in de auto hebben zitten :) Zelfde issue, wordt niets mee gedaan.
Wat een blamage van die bedrijven!
En als de kosten niet meer te overzien zijn, dan een miljoenen kostende hersteloperatie die minimaal maandenlang duurt en die niet goed gaat, een paar commissies die zich erover mogen buigen waar het fout is gegaan, lessons learned, politieke vragen, compensatieregelingen en de hele santenkraam er omheen. Doe het meteen goed, dan heb je later geen gedoe.
Als de kosten voor de laadpaal bedrijven zou zijn was het allang opgelost.
EU2023
NOS Nieuws, donderdag 12 december 2019
https://nos.nl/artikel/2314365-laadpassen-elektrische-auto-s-zijn-moeiteloos-te-kopieren
Hackers... back me up here...
Zit ook in de OV chip card...
Was al bekent voor dat de ov chip werd geimplementeerd
Er is een betere MIFARE ook maar zal wel te veel gekost hebben...
Dus vergelijk het met een streepjescode, als ze nou daadwerkelijk de security-features van de mifare classic/lite/whatever gebruikten, die dus in al die laadpassen zitten, dan zou fraude/spoofing al een flink stuk lastiger worden.
Maar zolang je alleen het ID-nummer gebruikt, kan iedere gebruiker met een nfc-telefoon of een flipper-zero of vergelijkbaar device naar hartelust kaarten klonen in 1 seconde.
Ik hoorde dat banken nogal overactief overschrijvingen controleren.
Dan zou dit toch moeten opvallen?
Ik hoorde dat banken nogal overactief overschrijvingen controleren.
Dan zou dit toch moeten opvallen?
mee geladen worden, dan wordt dat vast wel ontdekt.
Ik hoorde dat banken nogal overactief overschrijvingen controleren.
Dan zou dit toch moeten opvallen?
mee geladen worden, dan wordt dat vast wel ontdekt.
Nee hoor, enkel als de klant gaat klagen over spooktransacties. Maar welke zakelijke EV rijder controleert de laadsessies op de factuur? Tip voor de zwartlader, gebruik meerdere kaartnummers willekeurig. De kans op blokkade is daar mee m.i. nihil.
Kaart wordt enkel geblokkeerd bij afloop leasecontract.
Ik hoorde dat banken nogal overactief overschrijvingen controleren.
Dan zou dit toch moeten opvallen?
Je kan gewoonlijk de sessies locatie en kosten zien op een gekoppelde app. Die app helpt ook bij het zoeken van laadpalen.
De private onderneming van de laadpas lijkt me degene die het risico draagt en aansprakelijk is.
Met de tot nu toe kleinere bereiken gaat het per laadsessie om kleine bedragen, Daar komt verandering in.
RFID kaart gebruikt wordt, die al in 2008 gehackt is.
Toen indertijd de Nederlandse Spoorwegen koos voor de OV chipkaart was al bekend
dat die gehackt kon worden, maar men heeft toen uit kostenoverweging
toch voor een gammele oplossing (Mifare Classic) gekozen.
https://www.security.nl/posting/23327/Klonen+OV-chipkaart+kinderspel
meer technische informatie uit 2008-2010:
http://www.cs.ru.nl/~flaviog/OV-Chip.pdf
www.cs.bham.ac.uk/~garciaf/publications/Attack.MIFARE.pdf
www.cs.umd.edu/~jkatz/security/downloads/Mifare3.pdf
Hoe men nu voor elektrische auto's tienjaar later nog altijd voor
de gammele Mifare Classic kiezen kan gaat mijn verstand te boven!
In elk geval is anno nu oplaadfraude nog steeds mogelijk. Ik ben mijn laadpasje vrijdagavond verloren en ik kan hem pas maandag laten blokkeren. De laadpasmaatschappij is in het weekend dicht. Dus elke oneerlijke vinder kan een heel weekend op mijn kosten opladen zonder dat ik er wat aan kan doen... Ik hoop maar dat dat goed gaat. Gelukkig kan ik bij schade de laadpas-maatschappij aansprakelijk stellen. Daar is jurisprudentie over: bij een onveilig systeem is het niet billijk om de gebruiker de kosten te laten dragen. Maar ik voel me er allerminst gerust bij...
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
