Lek in laadpalen Ubiquiti, Autel en ChargePoint en Phoenix gedemonstreerd
Tijdens de Pwn2Own Automotive-wedstrijd in Tokyo hebben onderzoekers onbekende kwetsbaarheden in laadpalen van fabrikanten Ubiquiti, Autel en ChargePoint en Phoenix gedemonstreerd. Via de beveiligingslekken kan een aanvaller code op de laadpalen uitvoeren. Beveiligingsupdates zijn nog niet beschikbaar, alsmede technische details over de kwetsbaarheden.
Pwn2Own is een jaarlijks terugkerende hackwedstrijd waarin onderzoekers allerlei onbekende kwetsbaarheden in veelgebruikte producten en software aantonen. Er zijn verschillende edities van het evenement. Vorig jaar vond voor het eerst 'Pwn2Own Automotive' plaats, waarbij 'automotive' onderdelen centraal staan. De komende dagen hebben onderzoekers het vooral voorzien op laadpalen en infotainmentsystemen.
Onderzoekers van het team 'PHP Hooligans' demonstreerden een heap-based buffer overflow in de Autel MaxiCharger AC Wallbox Commercial. Het 'Summoning Team' liet een 'hard-coded cryptographic key bug' in de Ubiquity Connect EV Station zien. Onderzoekers van fuzzware.io gebruikten een stack-based buffer overflow om de Autel te compromitteren. Dezelfde onderzoekers wisten via een 'origin validation error bug' code execution op de Phoenix Contact CHARX SEC-3150 laadpaal te krijgen.
De ChargePoint Home Flex laadpaal moest zijn meerdere in onderzoekers van Synacktiv erkennen, die hun code door middel van een stack-based buffer overflow konden uitvoeren. Verdere details over de kwetsbaarheden zijn niet bekendgemaakt. Onderzoekers ontvingen voor hun kwetsbaarheden bedragen van 25.000 en 50.000 dollar. De details worden nu met de fabrikanten gedeeld, zodat die patches voor hun producten kunnen ontwikkelen. Morgen vindt de tweede dag van Pwn2Own Automotive 2025 plaats.
Ik heb een 7,4 KW laadpaal van mijn werkgever aan mijn gevel hangen, als ik begin te laden dan registreert mijn elektriciteitsmeter in de meterkast de hoeveelheid elektriciteit die naar de auto gaat samen met de rest van het verbruik van mijn woning. De laadpaal meet eveneens de hoeveelheid elektriciteit, maar dan enkel die naar de auto gaat. Hij heeft hiervoor een verbinding met een backoffice van een laadpaal provider.
Dus ik plug de auto in, haal de laadpas langs de laadpaal en de auto begint te laden. Heb ik genoeg geladen dan haal ik de laadpas langs de laadpaal en de sessie stopt. De hoeveelheid geladen elektriciteit wordt doorgegeven aan de laadpaal provider samen met de id van mijn laadpas en nog enkele gegevens van de wagen zodat mijn werkgever mij de verbruikte elektriciteit kan vergoeden.
Met dezelfde laadpas kan ik laden bij Shell, Fastned, ..., de kost van deze elektriciteit moet niet aan mij betaald worden maar wordt gefactureerd aan mijn werkgever.
Een betaalterminal hangen aan de laadpaal bij mij thuis is een beetje overkill als ik de enige ben die daar kan laden.
Ik heb een 7,4 KW laadpaal van mijn werkgever aan mijn gevel hangen, als ik begin te laden dan registreert mijn elektriciteitsmeter in de meterkast de hoeveelheid elektriciteit die naar de auto gaat samen met de rest van het verbruik van mijn woning. De laadpaal meet eveneens de hoeveelheid elektriciteit, maar dan enkel die naar de auto gaat. Hij heeft hiervoor een verbinding met een backoffice van een laadpaal provider.
Dus ik plug de auto in, haal de laadpas langs de laadpaal en de auto begint te laden. Heb ik genoeg geladen dan haal ik de laadpas langs de laadpaal en de sessie stopt. De hoeveelheid geladen elektriciteit wordt doorgegeven aan de laadpaal provider samen met de id van mijn laadpas en nog enkele gegevens van de wagen zodat mijn werkgever mij de verbruikte elektriciteit kan vergoeden.
Met dezelfde laadpas kan ik laden bij Shell, Fastned, ..., de kost van deze elektriciteit moet niet aan mij betaald worden maar wordt gefactureerd aan mijn werkgever.
Een betaalterminal hangen aan de laadpaal bij mij thuis is een beetje overkill als ik de enige ben die daar kan laden.
wat een vooruitgang he :)
Als je bij een benzinepomp gaat tanken zit er ook een berg elektronica achter. Een betaalterminal, een bonnetjes machine en een afslagklep voor de juiste brandstof etc.
Een laadpaal is vergelijkbaar met een onbemande pomp, je haalt je pas er langs en je kunt starten met laden. Omdat het laden wat langer duurt stuurt hij een signaal naar de app om je te waarschuwen dat je klaar bent. Je hebt geen bonnetje meer nodig omdat de betaling direct van je rekening gaat en de factuur in de app staat.
Niet heel veel verschil dus.
Zien jullie nou echt niet hoe absurd dit allemaal is? ROFLMAO
Het lijkt wel of de mensheid lanzamerhand APPverslaafd is geworden.
Waarom kan je niet gewoon even voor het laden je pinpas (of een betaal/'tank'pas van je werkgever) erlangs halen?
Gewoon, eenvoudig.
Net als bij brandstof tanken.
Net als bij betalen in de winkel.
En het is technisch prima mogelijk om bv op basis van je pas/rekeningnummer een berichtje te sturen naar een gekoppelde telefoon (sms/naar een app/...) als ie bijna klaar is met laden.
Dat iedere paal vervolgens ook nog eens 100 verschillende pasjes accepteert die allemaal van een andere club zijn en allemaal een ander kWh tarief rekenen is helemaal van de zotte. Alle particulieren die geen pasje van de werkgever hebben staan dus met x passen op zak te googlen welke er bij deze laadpaal het goedkoopste is, want dat verschilt enorm per pas.
Als ik benzine sta te tanken bij een of ander tankstation hoef ik toch ook niet eerst te kiezen bij welke brandstofleverancier ik voor welk bedrag wil afrekenen?
Er is dus nog wel iets te winnen imo...
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Adviseur
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan informatie-technologie (IT) en operationele technologie (OT) binnen onze taken, is het essentieel om deze veilig te houden.
Security Specialist
Directie Informatievoorziening & Inkoop
Als security specialist is je primaire taak het detecteren en het afhandelen van (mogelijke) security incidenten. Hiervoor vergaar je dreigingsinformatie en richt je op basis van risico's detectieregels in, opdat aanvallers in een zo vroeg mogelijk stadium geïdentifi-ceerd kunnen worden. Wanneer een dreiging wordt gedetecteerd, zorg jij ervoor dat de juiste acties worden uitgezet.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?