image

Laadpalen bevatten talloze kwetsbaarheden: security geen factor bij ontwerp

vrijdag 26 januari 2024, 15:41 door Redactie, 5 reacties

Laadpalen voor het opladen van elektrische auto's bevatten talloze kwetsbaarheden waardoor aanvallers de apparaten kunnen compromitteren en schade kunnen veroorzaken, zo hebben verschillende onderzoekers de afgelopen dagen tijdens de Pwn2Own-wedstrijd gedemonstreerd. "De relatieve eenvoud waarmee we toegang konden krijgen tot de laadpalen laat zien dat security geen factor is geweest bij het ontwerp van de palen”, stelt Daan Keuper, hoofd beveiligingsonderzoek bij Computest Security, en deelnemer aan de wedstrijd.

Tijdens Pwn2Own worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden. Dit jaar was er voor het eerst een 'automotive' editie, geheel in het teken van elektrische auto's, laadpalen, infotaintmentsystemen en besturingssystemen voor voertuigen. In de categorie laadpalen konden onderzoekers gedurende drie dagen de veiligheid testen van zes modellen: ChargePoint Home Flex, Phoenix Contact, Emporia EV Charger, JuiceBox 40, Autel MaxiCharger en Ubiquiti Connect.

Alle zes de laadpalen werden één of meerdere keren tijdens de wedstrijd gecompromitteerd. Daarvoor werden meer dan twintig onbekende kwetsbaarheden gebruikt. Pwn2Own beloont onderzoekers zoals gezegd voor het demonstreren van onbekende beveiligingslekken. Wanneer onderzoekers een aanval laten zien waarbij een al eerder gedemonstreerde kwetsbaarheid is gebruikt, is er sprake van een 'bug collision'. Dit levert onderzoekers minder geld en punten op.

Bij de aanvallen op de laadpalen werden meerdere van dergelijke bug collisions gedetecteerd, wat inhoudt dat het betreffende beveiligingslek door meerdere onderzoekers onafhankelijk van elkaar was gevonden. Op basis van een loting wordt de volgorde bepaald waarin onderzoekers hun aanvallen mogen demonstreren. "Het zijn voor de hand liggende kwetsbaarheden die een fabrikant ook had kunnen ontdekken met het uitvoeren van een security-test. Het feit dat dit is verzuimd laat zien dat apparaten die online verbonden zijn zoals laadpalen, achterlopen op het gebied van security en hier nog veel winst te behalen valt", aldus Keuper.

Voor het aanvallen van de laadpalen kon gebruik worden gemaakt van benaderbare services of protocollen/interfaces die voor een standaard gebruiker toegankelijk zijn. De laadpalen die door de onderzoekers van Computest werden gecompromitteerd waren elk via dezelfde soort kwetsbaarheid toegankelijk, waardoor aanvallers de controle over het systeem kunnen overnemen en het bijvoorbeeld kunnen in- of uitschakelen. Hiervoor werd gebruikgemaakt van bluetooth. Gegevens van gebruikers waren niet vereist. De gevonden kwetsbaarheden zijn aan de fabrikanten gemeld, zodat die updates kunnen ontwikkelen.

Image

Reacties (5)
27-01-2024, 15:22 door Anoniem
Goede actie o.a. ook van de club die de problemen in TETRA heeft ontdekt
27-01-2024, 20:44 door Anoniem
Scan ook nooit QR code stickers die ergens overheen geplakt zijn; je weet niet of die QR code een malware link bevat!
29-01-2024, 08:11 door Anoniem
of gebruik in dat geval een QR scanner app van bijvoorbeeld TrendMicro, die een controle voor je doet.
29-01-2024, 08:37 door Korund - Bijgewerkt: 29-01-2024, 08:38
Door Anoniem: Scan ook nooit QR code stickers die ergens overheen geplakt zijn; je weet niet of die QR code een malware link bevat!
Juist wel scannen, om te onderzoeken of de link betrouwbaar danwel malafide is.
29-01-2024, 10:04 door Anoniem
je weet niet of die QR code een malware link bevat!
Je weet wel dat er blijkbaar een reden is om geen leesbaar URL te tonen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.