image

Laadpassen voor elektrische auto’s al jaren gevoelig voor fraude

woensdag 29 november 2023, 09:39 door Redactie, 22 reacties

Laadpassen voor elektrische auto’s zijn al jaren fraudegevoelig, waardoor het mogelijk is om op kosten van iemand anders de auto op te laden, zo laat cybersecuritybedrijf Vest vandaag op basis van eigen onderzoek weten. Vanaf het aanvraagproces voor een pas tot aan het gebruik en betalen voor de dienst gaat het mis, aldus onderzoeker Alexander van Ee.

Een laadpas voor een elektrische auto is online aan te vragen. "En controle op juistheid van gegevens is er niet, zo heb ik verschillende keren een bankrekeningnummer gebruikt dat helemaal niet van de aanvrager was", aldus Van Ee. Zo vroeg de onderzoeker een pas aan op naam van Mark Rutte met daarbij het rekeningnummer van de Belastingdienst. "Dat zou natuurlijk absoluut niet de bedoeling moeten zijn."

Volgens de verstrekker van de laadpas moet die eerst worden geactiveerd voordat die te gebruiken is, maar dat blijkt niet echt noodzakelijk. Bij een aantal van de aangevraagde passen kan de auto worden opgeladen zonder dat de pas daadwerkelijk geactiveerd is. Verder blijkt dat de beveiliging van de chip op de laadpassen minimaal is. Kopiëren van een bestaande pas is relatief eenvoudig. De op de chip wel aanwezige beveiligingsmogelijkheden worden namelijk niet gebruikt.

Het blijkt ook eenvoudig om pasnummer te achterhalen, die daarna te koppelen zijn aan herschrijfbare passen en vervolgens te gebruiken. "Het kan maar zo zijn dat iemand in bijvoorbeeld Portugal ineens op zijn factuur ziet dat hij een laadsessie had in een willekeurig stadje in Nederland", merkt Van Ee op. De reeks gebruikte pasnummers is dusdanig klein, dat bij een bruteforce-aanval relatief snel een bruikbaar pasnummer is te vinden.

Druppelladen

De onderzoeker ontdekte ook dat het mogelijk is om elektrische auto's gratis op te laden door middel van 'druppelladen'. Gebruikers gaan namelijk pas na een minuten laden betalen. Door middel van een apparaatje zoals de Flipper Zero is het mogelijk om korte oplaadsessies van een minuut te automatiseren en zo de auto 'vol te druppelen'.

"De geconstateerde gebreken om het betalen van elektrisch laden minder fraudegevoelig te maken lijkt een collectieve tekortkoming. Om die reden wordt de aandacht gevraagd om dit ook collectief naar een voor de consument betrouwbaarder niveau te brengen", stelt het cybersecuritybedrijf. Dat stelt dat het oplossen en voorkomen van misbruik van de aangetoonde problemen het doel is. "Niemand mag het risico lopen onnodig gedupeerd te worden."

Image

Reacties (22)
29-11-2023, 09:48 door Anoniem
Ik heb nooit begrepen waarom er nu weer laadpassen nodig zijn om gewoon electriciteit te tappen. Gewoon kWh-en afrekenen met je pinpas en klaar. Lijkt mij voldoende.
On Topic: Niet vebaasd dat e.e.a (weer) zo lek is als een zeef. Die laadpasseninfrastructuur mag natuurlijk weer niets kosten. ;-)
29-11-2023, 09:56 door Anoniem
De onderzoeker ontdekte ook dat het mogelijk is om elektrische auto's gratis op te laden door middel van 'druppelladen'. Gebruikers gaan namelijk pas na een minuten laden betalen. Door middel van een apparaatje zoals de Flipper Zero is het mogelijk om korte oplaadsessies van een minuut te automatiseren en zo de auto 'vol te druppelen'.
Was dat niet jaren geleden een grap die bij pomphouders werd uitgehaald? De automobilist die kwam tanken zei dan: "wat kost een druppel benzine?" De pomphouder zei dan: "niets!", waarop de automobilist weer antwoordde: "druppel maar vol". En nu blijkt dat dit digitaal inderdaad kan worden uitgevoerd. Ongelooflijk dit!
29-11-2023, 10:29 door Anoniem
Tof artikel, erg interessant.
Het blijft toch interessant dat er vaak gekozen wordt voor een relatief eenvoudige manier van kaart validatie.
Waar ligt de oorsprong van deze keuze? De aanname dat misbruik dermate minimaal is, dat de kosten van een duurdere oplossing niet interessant zijn?

Dit probleem zie je helaas bij veel oplossingen waarbij een 'draadloze' manier van authenticeren wordt aangeboden.
Zoals fietskluizen, toegangpoorten van ouderewoningen, toegangdruppels van bedrijven.
De wereld wordt opeens een zeer interessante "openwerkplek" als je met apparaten als een FlipperZero rondloopt.

De vraag is sta je als consument in je recht om een hogere beveiligdsstandaad te eisen?
Of heb je simpelweg te dealen met de, goedkope, keuze van de aanbieder?
29-11-2023, 10:55 door Anoniem
Goh, wat een verrassing. :) De onderzoeker heeft wel gevoel voor humor met de aanvraag op naam gehad. ;)

Druppelladen klinkt leuk maar zie je jezelf al 12 uur staan bij een laadpaal om iedere keer de sessie te starten? Laden start op laagste niveau en wordt opgebouwd, en als dat na een minuut weer wordt onderbroken start de hele cyclus opnieuw. Theoretisch leuk maar in de praktijk niet uitvoerbaar.

Het wachten is op een betaalterminal op de laadpaal. Probleem opgelost.
29-11-2023, 11:09 door Anoniem
dit is al heel lang bekend en hier gaat niets aan gedaan worden.
leveranciers kiezen er immers zelf voor om nog gebruik te maken van Mifare Classic.

Je kan ook een mywheels auto huren voor 15 minuten en dan copie maken van het oplaad kaart of chipje welk ze in de auto hebben zitten :) Zelfde issue, wordt niets mee gedaan.
29-11-2023, 11:12 door Anoniem
Blijkbaar geen echt probleem dus (op dit moment weinig fraude, en als het wel plaats vind zijn de kosten te overzien), anders hadden de pasverstrekkers het systeem wel verbeterd. Daarbij komt ook dat fraude wel mogelijk lijkt maar is altijd te achterhalen welk voertuig heeft geladen, omdat je voertuig netjes aan de centrale verteld wat zijn uid is.
29-11-2023, 11:15 door Anoniem
Haha allemaal een pas aanvragen op de belastingdienst. Dan ga ik toch maar elektrisch rijden denk ik.
Wat een blamage van die bedrijven!
29-11-2023, 12:23 door Anoniem
Door Anoniem: Blijkbaar geen echt probleem dus (op dit moment weinig fraude, en als het wel plaats vind zijn de kosten te overzien), anders hadden de pasverstrekkers het systeem wel verbeterd. Daarbij komt ook dat fraude wel mogelijk lijkt maar is altijd te achterhalen welk voertuig heeft geladen, omdat je voertuig netjes aan de centrale verteld wat zijn uid is.

En als de kosten niet meer te overzien zijn, dan een miljoenen kostende hersteloperatie die minimaal maandenlang duurt en die niet goed gaat, een paar commissies die zich erover mogen buigen waar het fout is gegaan, lessons learned, politieke vragen, compensatieregelingen en de hele santenkraam er omheen. Doe het meteen goed, dan heb je later geen gedoe.
29-11-2023, 12:46 door Anoniem
De kosten zijn voor de gebruikers, dus wordt er niets gedaan.
Als de kosten voor de laadpaal bedrijven zou zijn was het allang opgelost.
29-11-2023, 12:48 door Anoniem
Gewoon in de toekomst met je EU Wallet betalen :)
29-11-2023, 13:10 door Anoniem
De bedenkers de programmeurs en producenten wisten dan van niets?

EU2023
29-11-2023, 13:15 door Anoniem
Laadpassen elektrische auto's zijn moeiteloos te kopiëren
NOS Nieuws, donderdag 12 december 2019

https://nos.nl/artikel/2314365-laadpassen-elektrische-auto-s-zijn-moeiteloos-te-kopieren
29-11-2023, 13:38 door Anoniem
Hoe lang weten we nou al dat dat mifare classic chip zo gaar als een zeef is ?
Hackers... back me up here...
Zit ook in de OV chip card...
Was al bekent voor dat de ov chip werd geimplementeerd

Er is een betere MIFARE ook maar zal wel te veel gekost hebben...
29-11-2023, 14:38 door Anoniem
Ja, mifare classic is misschien niet super secure... maar ze gebruiken de crypto/security-features van de mifare helemaal niet, alle authenticatie is puur op basis van het serienummer (7 byte + 1 byte checksum).

Dus vergelijk het met een streepjescode, als ze nou daadwerkelijk de security-features van de mifare classic/lite/whatever gebruikten, die dus in al die laadpassen zitten, dan zou fraude/spoofing al een flink stuk lastiger worden.

Maar zolang je alleen het ID-nummer gebruikt, kan iedere gebruiker met een nfc-telefoon of een flipper-zero of vergelijkbaar device naar hartelust kaarten klonen in 1 seconde.
29-11-2023, 18:21 door SecOff - Bijgewerkt: 29-11-2023, 18:22
Door Anoniem: Daarbij komt ook dat fraude wel mogelijk lijkt maar is altijd te achterhalen welk voertuig heeft geladen, omdat je voertuig netjes aan de centrale verteld wat zijn uid is.
Dat is alleen zo bij DC (snel) laden en niet bij de standaard AC laadpalen langs de straat. En bij sommige auto’s werkt dat zelfs bij DC laden niet.
30-11-2023, 09:40 door Anoniem
Herkennen de banken dit soort afboekingen dan niet als ongebruikelijke of verdachte transacties?
Ik hoorde dat banken nogal overactief overschrijvingen controleren.
Dan zou dit toch moeten opvallen?
30-11-2023, 10:04 door Anoniem
Door Anoniem: Herkennen de banken dit soort afboekingen dan niet als ongebruikelijke of verdachte transacties?
Ik hoorde dat banken nogal overactief overschrijvingen controleren.
Dan zou dit toch moeten opvallen?
Oh zodra er iets verdachts gebeurt, bijvoorbeeld omdat een bepaalde pas 100 keer gecopieerd is en er overal auto's
mee geladen worden, dan wordt dat vast wel ontdekt.
30-11-2023, 11:43 door Anoniem
Door Anoniem:
Door Anoniem: Herkennen de banken dit soort afboekingen dan niet als ongebruikelijke of verdachte transacties?
Ik hoorde dat banken nogal overactief overschrijvingen controleren.
Dan zou dit toch moeten opvallen?
Oh zodra er iets verdachts gebeurt, bijvoorbeeld omdat een bepaalde pas 100 keer gecopieerd is en er overal auto's
mee geladen worden, dan wordt dat vast wel ontdekt.

Nee hoor, enkel als de klant gaat klagen over spooktransacties. Maar welke zakelijke EV rijder controleert de laadsessies op de factuur? Tip voor de zwartlader, gebruik meerdere kaartnummers willekeurig. De kans op blokkade is daar mee m.i. nihil.
Kaart wordt enkel geblokkeerd bij afloop leasecontract.
30-11-2023, 15:24 door karma4
Door Anoniem: Herkennen de banken dit soort afboekingen dan niet als ongebruikelijke of verdachte transacties?
Ik hoorde dat banken nogal overactief overschrijvingen controleren.
Dan zou dit toch moeten opvallen?
Laadpassen lopen niet via banken maar via aparte private ondernemingen. De uiteindelijke afrekening gaat wel via een bank.
Je kan gewoonlijk de sessies locatie en kosten zien op een gekoppelde app. Die app helpt ook bij het zoeken van laadpalen.

De private onderneming van de laadpas lijkt me degene die het risico draagt en aansprakelijk is.
Met de tot nu toe kleinere bereiken gaat het per laadsessie om kleine bedragen, Daar komt verandering in.
30-11-2023, 23:32 door Anoniem
Ik zie in de screendump dat er nog altijd een stok-oude Philips Mifare Classic
RFID kaart gebruikt wordt, die al in 2008 gehackt is.

Toen indertijd de Nederlandse Spoorwegen koos voor de OV chipkaart was al bekend
dat die gehackt kon worden, maar men heeft toen uit kostenoverweging
toch voor een gammele oplossing (Mifare Classic) gekozen.

https://www.security.nl/posting/23327/Klonen+OV-chipkaart+kinderspel

meer technische informatie uit 2008-2010:
http://www.cs.ru.nl/~flaviog/OV-Chip.pdf
www.cs.bham.ac.uk/~garciaf/publications/Attack.MIFARE.pdf
www.cs.umd.edu/~jkatz/security/downloads/Mifare3.pdf

Hoe men nu voor elektrische auto's tienjaar later nog altijd voor
de gammele Mifare Classic kiezen kan gaat mijn verstand te boven!
01-12-2023, 12:27 door Anoniem
Door Anoniem:zie je jezelf al 12 uur staan bij een laadpaal om iedere keer de sessie te starten?
Dat kan Flipper Zero voor jou dus uit handen nemen, terwijl jij van je avond en nachtrust geniet ;)
29-06-2024, 10:23 door Stef Joosten - Bijgewerkt: 29-06-2024, 10:28
Het is inmiddels 2024. is het kopiëren van laadpassen nog steeds mogelijk? (zie dit filmpje van de NOS uit 2019 https://nos.nl/artikel/2314365-laadpassen-elektrische-auto-s-zijn-moeiteloos-te-kopieren)

In elk geval is anno nu oplaadfraude nog steeds mogelijk. Ik ben mijn laadpasje vrijdagavond verloren en ik kan hem pas maandag laten blokkeren. De laadpasmaatschappij is in het weekend dicht. Dus elke oneerlijke vinder kan een heel weekend op mijn kosten opladen zonder dat ik er wat aan kan doen... Ik hoop maar dat dat goed gaat. Gelukkig kan ik bij schade de laadpas-maatschappij aansprakelijk stellen. Daar is jurisprudentie over: bij een onveilig systeem is het niet billijk om de gebruiker de kosten te laten dragen. Maar ik voel me er allerminst gerust bij...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.