Суббота, 18 августа 2018  RSS  Обратная связь
Суббота, 18 августа 2018  RSS  Обратная связь
Популярно
15:58, 22 января 2018

Что не так с зарядками для электрокаров.


зарядка электрокара
Если повнимательнее приглядеться к новостям из мира автоиндустрии, то легко можно заметить факт того, что автопроизводители, все чаще и чаще представляют новые модели электромобилей постепенно уходя от двигателей внутреннего сгорания. К тому же, популярность электрокаров растет и среди потребителей, по состоянию, на начало 2017 года, количество проданных «зеленых» автомобилей составило 2 миллиона штук, продолжая расти. Вместе с растущим числом электромобилей, развивается и инфраструктура, необходимая для их обслуживания, зарядная станция около дома, той же Европе или на западе, уже никого не удивляет.

И вот эта самая инфраструктура, на данный момент, является новым, неосвоенным и довольно прибыльным (с прицелом на будущее), направлением бизнеса. Игроки данного рынка, в погоне за прибылью, стараются освоить как можно большую долю, не уделяя внимание такому важному аспекту, как безопасность.

Причем, говоря о безопасности, подразумевается отнюдь не физическая безопасность, а кибер безопасность. Основываясь на принципе плати-заряжай, в современные зарядные станции начисто лишены защиты персональных данных и денег клиента.

, которые владеют зарядными станциями, получают плату за предоставленную ими электроэнергию. Для таких операций необходима система расчетов – и она, конечно же, есть. Так что перед тем как начать зарядку автомобиля, клиент идентифицировать себя. Для этого используется бесконтактная NFC-карта, привязанная к его учетной записи.

Для расчетов за зарядку электромобилей обычно используется протокол Open Charge Point Protocol, который обеспечивает связь между системой управления расчетами и зарядной станцией. Зарядная станция отправляет системе расчетов запрос, указывая в нем идентификационные данные клиента. Система управления расчетами одобряет запрос и сообщает об этом зарядной станции — и после этого можно начать зарядку. Потом зарядная станция определит, сколько электричества затрачено на зарядку, и отправит эти данные системе расчетов, чтобы включить их в счет, который будет выставлен в конце месяца.

Вроде ничего нового или особенного в этом нет. А теперь давайте присмотримся и поймем, где здесь слабые места.

Начнем с идентификационных карт. Они предоставляются сторонними поставщиками и — сюрприз! — большинство из них не обеспечивает защиты персональных данных. Это очень простые NFC-карты, которые не шифруют ни идентификационный код (а ничего другого для идентификации и не требуется), ни какие-либо другие данные, которые на них содержатся. Однако этим проблемы с картами не ограничиваются.
Такие карты очень легко программируются: Человек, которому захочется бесплатно заряжать электромобиль, легко может сделать себе множество карт с разными номерами счетов в надежде, что какой-то из них окажется действующим.
Поскольку поставщики услуг зарядки выставляют счета только раз в месяц, при таком взломе владелец ничего не заметит, пока не получит очередной счет.

Еще одно слабое место процедуры оплаты: большинство станций используют протокол OCPP в уже относительно старой версии 2012 года, которая основана на HTTP. (Все мы знаем, что не так с HTTP — этот протокол не использует шифрование, что позволяет легко организовать атаку типа «человек посередине» с перенаправлением транзакции.

Более того, многие станции зарядки, оборудованы USB-портами. Подключите к такому порту пустую флешку — и на нее скопируются логи и параметры конфигурации. Из таких данных легко можно извлечь логин и пароль для сервера OCPP, а также номера идентификаторов предыдущих пользователей — а это, как мы помним, все, что требуется, чтобы создать рабочую копию идентификационных карт этих пользователей.

Хуже того: если данные на флешке изменить, а затем снова вставить ее в станцию зарядки, последняя автоматически обновит свою прошивку, приняв записанное на флешке за новую конфигурацию.

Это открывает для хакеров целый ряд дополнительных возможностей.

Получается, что преступники могут: получать номера идентификационных карт; создавать фальшивые копии этих карт и использовать их для транзакций (платить за которые придется настоящим владельцам счетов); перенаправлять запросы на зарядку, что позволяет, по сути, полностью вывести из строя станцию; получать доступ к станции с полномочиями суперпользователя и дальше творить с ней что угодно. И все это лишь потому, что поставщики не стали принимать меры для обеспечения безопасности.

Об авторе: Александр


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

© 2018 Вселенная автомобилей
Дизайн и поддержка: GoodwinPress.ru

Рейтинг@Mail.ru