Električni avtomobili: odkrite pomembne ranljivosti polnilcev

Električna vozila so vroča tema, saj njihov razvoj predstavlja ključen prispevek k okoljski trajnosti. V nekaterih regijah javne in privatne točke polnjena tako postajajo splošno razširjene. Prav naraščajoče število električnih vozil je bil razlog, da so strokovnjaki družbe Kaspersky Lab preverili zelo dostopne domače polnilce, ki vključujejo funkcijo oddaljenega dostopa. Raziskovalci so odkrili, da lahko ogrožen povezan polnilec povzroči preobremenitev elektrike in podre omrežje, na katerega je povezan. Tako povzroči finančne posledice, v najhujšem primeru pa poškoduje tudi druge naprave, ki so povezane z omrežjem.

Raziskovalci so odkrili način, s katerim se lahko polnilcu poda navodilo, da proces polnjena ustavi ali pa ga nastavi na najvišjo možno stopnjo. V prvem primeru bi šlo le za preprečitev uporabe avtomobila, drug primer pa lahko potencialno povzroči pregretje žic na napravi, ki ni zaščitena z varovalko.

Napadalec potrbuje le dostop do brezžičnega omrežja

Vse kar napadalec potrebuje, da zamenja količino elektrike, ki se porablja, je, da pridobi brezžični dostop do omrežja, na katerega je povezan polnilec. Glede na to, da so naprave narejene za domačo uporabo, je varnost brezžičnega omrežja najverjetneje omejena. To pomeni, da bi lahko napadalci z lahkoto pridobili dostop, na primer s slepim preizkušanjem vse možnih gesel, kar je precej pogosto. Glede na statistične podatke družbe Kaspersky Lab je namreč 94 % napadov na internet stvari v letu 2018 prišlo s strani slepega preizkušanja gesel protokolov Telnet in SSH. Ko so napadalci enkrat znotraj omrežja, pa lahko z lahkoto najdejo IP naslov tistega, ki polni avto. To pa jim nadaljnje omogoča izkoriščanje vseh ranljivosti in motenje delovanja.

Vse najdene ranljivosti so bile sporočene ponudniku in odpravljene.

»Ljudje pogostokrat pozabijo, da pri ciljanem napadu spletni kriminalci napadajo najmanj očitne elemente, saj želijo ostati neopaženi. Zato je zelo pomembno, da ne iščemo ranljivosti samo v neraziskanih tehničnih inovacijah, ampak tudi pri njihovih dodatkih. Tu se namreč skriva želena nagrada morebitnih napadalcev. Kot smo pokazali, bi morali biti ponudniki še posebej previdni s povezanimi napravami vozil in vzpostaviti program za iskanje varnostnih napak (angl. bug-bounty) ali prositi strokovnjake za spletno varnost, da pregledajo njihove naprave. V primeru polnilcev električnih avtomobilov imamo srečo, da smo dobili pozitiven odgovor in je ponudnik hitro popravil napake, s tem pa je pomagal preprečiti potencialne napade,« je povedal Dmitry Sklyar, varnostni raziskovalec družbe Kaspersky Lab.

Družba Kaspersky Lab svetuje, da sledite naslednjim varnostnim ukrepom:

• Redno posodabljajte vse svoje pametne naprave z zadnjo verzijo programske opreme. Posodobitve lahko namreč vsebujejo popravke kritičnih ranljivosti, ki, če se jih ne popravi, lahko spletnim kriminalcem omogočijo dostop do vašega doma in zasebnega življenja.
• Ne uporabljajte privzetega gesla za brezžične usmerjevalnike in ostale naprave. Zamenjajte jih z močnimi gesli in ne uporabljajte istega gesla za več naprav.
• Priporočljivo je, da izločite omrežje pametnega doma iz omrežja, ki ga vi in vaša družina uporabljate za osnovno iskanje po internetu. Tako boste zagotovili, da v primeru okužbe naprave s splošno zlonamerno programsko opremo preko elektronske pošte za spletno ribarjenje vaš sistem pametnega doma ne bo oškodovan.