name | autoweek.cz
Zneužít dobíjecí stanici je tak snadné
02.01.2018 | Vladimír Rybecký | Trendy
Infrastruktura dobíjecích stanic pro elektromobily se rychle rozvíjí. Jejich obsluha je snadná, ale nikdo se nestará o jejich zabezpečení z hlediska IT. Největší evropský kongres hackerů 34C3 v Lipsku ukázal, jak snadné je přitom zneužití cizí identity.
Automobily s elektrickým pohonem se nabíjejí u dobíjecích stanic. Ty jsou obvykle vybaveny třífázovým připojením s požadovaným výkonem. U veřejně přístupných stanic jejich operátoři nabízejí jejich použití za poplatek hrazený pomocí speciální karty. Na těchto nabíjecích kartách je uloženo číslo, které nabíjecí stanice používá k identifikaci zákazníka. Toto číslo je ovšem veřejně přístupné a může být snadno okopírováno. Proto je možné snadno nabíjecí kartu klonovat.
Na 34. kongresu hackerů Chaos Communication Congress (34C3) v Lipsku (přítomno na něm je 15 000 registrovaných účastníků!) o problémech dobíjecích stanic mluvil člen hnutí CCC Mathias Dalheimer. Dalheimer o problematice zabezpečení přednáší za Fraunhoferův Institut pro ITWM v Kaiserslauternu.
„Operátoři nezavedli základní bezpečnostní mechanismy. Je to jako kdybych platil s fotokopií platební karty v prodejně a pokladník to přijal. Je zcela jednoduché vaše auto dobít, zatímco někdo jiný je nucen za to nevědomky zaplatit. Skoro všechny nabízené karty mají tuto chybu zabezpečení. Provozovatelé nabíjecích sítí, kteří tyto karty vydávají, odmítli bezpečnostní problémy odstranit, a to i přesto, že jim bylo několik měsíců předem předáno varování,“ uvedl Dalheimer.
Ani komunikace mezi nabíjecími stanicemi a zařízením pro fakturaci není chráněna. Číslo karty se přenáší bez šifrování přímo poskytovateli. Stačí jen malé úsilí k zachycení této komunikace a zjištění čísla zákaznické karty. S tím je možné buď nabít vlastní kartu nebo ještě jednodušeji simulovat nabíjení na cizí účet. Pomocí této metody může poskytovatel nabíjecích stanic snadno navyšovat své výnosy na účet zákazníků.
Samotné dobíjecí stanice jsou také nezabezpečené. Většina stanic umožňuje manipulaci s jejich konfigurací a aktualizací firmwaru pomocí USB. Vzhledem k tomu, že mechanismus aktualizace je obvykle nezabezpečený, může být podle Dalheimera do stanice vložen libovolný kód. Touto metodou může útočník například zařídit dobíjení zdarma pro všechny účastníky nebo může zjistit čísla zákazníků, aby si zařídil dobíjení na jejich účet.
Zákazníci se tomuto zneužití mohou jen těžko bránit. Zvláště při roamingu, když je jejich karta přijata na stanici jiného poskytovatele, nastane zúčtování poplatků mnohem později. Mohou uplynout týdny, než zneužití své karty zjistí.
Provozovatelé sítí dobíjecích stanic tyto problémy připouštějí, ale nevidí žádný důvod k přijetí opatření proti nim. Brání se s tím, že nevědí o žádných případech zneužití a že by si jejich zákazníci měli kontrolovat faktury. Přechod k bezpečnějšímu způsobu platby se neplánuje, takže zákazníci se v současné době musí s touto nepřijatelnou situací smířit.
Mathias Dalheimer svou přednášku doprovodil názornými ukázkami, když si k dobíjecí stanici po jednoduchých úpravách připojil elektrické zařízení na opékání vaflí. Umožnění přístupu k dobíjecí stanici vyžaduje jen uvolnění šesti šroubů a trvá méně než dvě minuty. Své vystoupení doprovodil i ukázkami nezabezpečených oblastí v kódovacích protokolech.
CCC proto požaduje:
- Bezpečnost dobíjecích stanic musí být zvýšena na současnou úroveň techniky
- Provozovatelé dobíjecích stanic musí svým zákazníkům nabízet zabezpečené metody plateb
- Údaje o platbách musí být nejen chráněny v rámci jednoho nabíjecího cyklu, ale i při roamingu mezi různými operátory.
Na 34. kongresu hackerů Chaos Communication Congress (34C3) v Lipsku (přítomno na něm je 15 000 registrovaných účastníků!) o problémech dobíjecích stanic mluvil člen hnutí CCC Mathias Dalheimer. Dalheimer o problematice zabezpečení přednáší za Fraunhoferův Institut pro ITWM v Kaiserslauternu.
„Operátoři nezavedli základní bezpečnostní mechanismy. Je to jako kdybych platil s fotokopií platební karty v prodejně a pokladník to přijal. Je zcela jednoduché vaše auto dobít, zatímco někdo jiný je nucen za to nevědomky zaplatit. Skoro všechny nabízené karty mají tuto chybu zabezpečení. Provozovatelé nabíjecích sítí, kteří tyto karty vydávají, odmítli bezpečnostní problémy odstranit, a to i přesto, že jim bylo několik měsíců předem předáno varování,“ uvedl Dalheimer.
Ani komunikace mezi nabíjecími stanicemi a zařízením pro fakturaci není chráněna. Číslo karty se přenáší bez šifrování přímo poskytovateli. Stačí jen malé úsilí k zachycení této komunikace a zjištění čísla zákaznické karty. S tím je možné buď nabít vlastní kartu nebo ještě jednodušeji simulovat nabíjení na cizí účet. Pomocí této metody může poskytovatel nabíjecích stanic snadno navyšovat své výnosy na účet zákazníků.
Samotné dobíjecí stanice jsou také nezabezpečené. Většina stanic umožňuje manipulaci s jejich konfigurací a aktualizací firmwaru pomocí USB. Vzhledem k tomu, že mechanismus aktualizace je obvykle nezabezpečený, může být podle Dalheimera do stanice vložen libovolný kód. Touto metodou může útočník například zařídit dobíjení zdarma pro všechny účastníky nebo může zjistit čísla zákazníků, aby si zařídil dobíjení na jejich účet.
Zákazníci se tomuto zneužití mohou jen těžko bránit. Zvláště při roamingu, když je jejich karta přijata na stanici jiného poskytovatele, nastane zúčtování poplatků mnohem později. Mohou uplynout týdny, než zneužití své karty zjistí.
Provozovatelé sítí dobíjecích stanic tyto problémy připouštějí, ale nevidí žádný důvod k přijetí opatření proti nim. Brání se s tím, že nevědí o žádných případech zneužití a že by si jejich zákazníci měli kontrolovat faktury. Přechod k bezpečnějšímu způsobu platby se neplánuje, takže zákazníci se v současné době musí s touto nepřijatelnou situací smířit.
Mathias Dalheimer svou přednášku doprovodil názornými ukázkami, když si k dobíjecí stanici po jednoduchých úpravách připojil elektrické zařízení na opékání vaflí. Umožnění přístupu k dobíjecí stanici vyžaduje jen uvolnění šesti šroubů a trvá méně než dvě minuty. Své vystoupení doprovodil i ukázkami nezabezpečených oblastí v kódovacích protokolech.
CCC proto požaduje:
- Bezpečnost dobíjecích stanic musí být zvýšena na současnou úroveň techniky
- Provozovatelé dobíjecích stanic musí svým zákazníkům nabízet zabezpečené metody plateb
- Údaje o platbách musí být nejen chráněny v rámci jednoho nabíjecího cyklu, ale i při roamingu mezi různými operátory.
Další články
© 2025 autoweek.cz. Veškerá práva vyhrazena | O autoweek.cz