Nederlandse onderzoekers hebben in laadpalen van iocharger zeventien kwetsbaarheden gevonden waardoor alle laadpalen van de fabrikant waren over te nemen en het energienetwerk uit balans zou kunnen worden gebracht. Dat meldt het Dutch Institute for Vulnerability Disclosure (DIVD). Het DIVD scant met behulp van vrijwilligers op internet naar kwetsbare systemen zodat het betrokken organisaties kan waarschuwen. Daarnaast doet het beveiligingsonderzoek.

Voor het onderzoek naar de iocharger-laadpalen werkte DIVD-onderzoeker Harm van den Brink samen met externe onderzoeker Wilco van Beijnum. De onderzoekers vonden zoals gezegd zeventien kwetsbaarheden. Zeven van de beveiligingslekken maken command injection voor een geauthenticeerde aanvaller mogelijk, die vervolgens willekeurige code als root op de laadpalen kan uitvoeren.

Om de laadpaal aan te kunnen vallen moet een aanvaller over inloggegevens beschikken. "Een aanvaller die over een laadpaal of firmware-image beschikt kan alle benodigde informatie achterhalen om andere apparaten aan te vallen", aldus de onderzoekers. De kwetsbaarheden werden aangetroffen in de Home en Pedestal modellen van iocharger. Dezelfde kwetsbare firmware blijkt echter aanwezig te zijn in alle AC-modellen van iocharger, inclusief modellen die onder andere merknamen worden verkocht.

Het is de onderzoekers niet gelukt inzicht te krijgen om welke andere merken het gaat. Iocharger heeft inmiddels zestien van de zeventien gerapporteerde kwetsbaarheden via firmware-updates verholpen. De onderzoekers merken op dat het lastig voor gebruikers van iocharger-laadpalen is om te controleren welke firmware ze draaien, omdat iocharger firmware-updates niet openbaar communiceert, maar alleen met distributeurs deelt.

"Hoewel de eindgebruiker verantwoordelijk is voor een veilig apparaat, is deze volledig afhankelijk van tussenpartijen. Zonder directe communicatie tussen fabrikant en eindgebruiker blijft de gebruiker onwetend over eventuele risico’s en kunnen kwetsbaarheden onopgelost blijven. Dit onderstreept hoe kwetsbaar en complex het huidige systeem is voor het doorgeven van cruciale informatie, waardoor belangrijke beveiligingsupdates gemakkelijk tussen wal en schip raken", aldus het DIVD.