Schneiderjeve avtomobilske postaje za polnjenje EVLink so bile enostavno opremljene z geslom TechCrunch


Schneider je v eni od svojih priljubljenih postaj za polnjenje električnih avtomobilov določil tri ranljivosti, za katere so po mnenju varnostnih raziskovalcev lahko napadalcu zlahka dovolili, da na daljavo prevzame enoto.

V najslabšem primeru lahko napadalec prisili priključeno vozilo, da ustavi polnjenje, zaradi česar je neuporaben v »stanju zavrnitve storitve«, napadu, ki ga nekateri akterji ogrožajo, saj je to učinkovit način, da se nekaj ustavi.

Napake so bile popravljene s posodobitvijo programske opreme, ki se je pojavila 2. septembra, kmalu po tem, ko so bili prvič razkriti hrošči, in 20. decembra so v spremljevalnem dokumentu razkrili omejene podrobnosti o hroščih. Yorkska varnostna hiša Positive Technologies je bila izdana danes – skoraj mesec dni kasneje.

Schneiderjeve postaje za polnjenje EVLink so v vseh oblikah in velikostih – nekatere za steno garaže, nekatere pa za bencinske črpalke. To so polnilne postaje v pisarnah, hotelih, nakupovalnih središčih in parkirnih garažah, ki so ranljive, je dejal Pozitiv.

V središču razkritja podjetja Positive so električna polnilna postaja EVLink za parkiranje Schneiderja, ki je ena izmed večih izdelkov za polnjenje, ki jih Schneider prodaja in se prodaja predvsem stanovanjskim kompleksom, zasebnim parkiriščem, pisarnam in občinam. Te polnilne postaje so, tako kot druge, zasnovane za električna in vtičnica hibridna električna vozila – vključno s Teslasom, ki imajo svoj lastni priključek.

Ker je mogoče parkirno postajo EVLink povezati z oblakom Schneiderja z internetno povezavo, bodisi preko celične ali širokopasovne povezave, je Positive dejal, da lahko spletni uporabniški vmesnik na enoti za zaračunavanje storitev dostopa na daljavo vsakogar in preprosto pošlje ukaze za polnjenje. postaja – tudi ko je v uporabi.

"Hacker lahko ustavi postopek polnjenja, preklopi napravo na način rezervacije, ki bi ga onemogočil, dokler ni izključen način rezervacije in celo odklenil kabel med polnjenjem z manipuliranjem z zaklepanjem vtičnice, kar pomeni, da napadalci lahko Oditi s kablom, «je dejal Pozitiv.

"Za voznike električnih avtomobilov to pomeni, da ne morejo uporabljati njihovih vozil, saj jih ni mogoče zaračunati," je dejal.

Pozitivni ni povedal, kaj je bilo že odstranjeno geslo, toda glede na radovednost smo vprašali in posodobili, ko bomo slišali.

Raziskovalci Vladimir Kononovich in Vyacheslav Moskvin sta odkrila še dva druga hrošča, ki daje napadalcu popoln dostop do naprave – napaka pri vbrizganju kode in ranljivost SQL injectiona. Oba sta bila določena v isti posodobitvi programske opreme.

Ko je bil dosežen, tiskovni predstavnik Schneider ni imel takojšnje pripombe. Če se to spremeni, bomo posodobili.

Dodatno poročanje: Kirsten Korosec.