Computest Security presenteerde de technische informatie over hun gevonden kwetsbaarheden op Black Hat in Las Vegas
Computest Security researchers Thijs Alkemade en Khaled Nassar stonden deze week op het podium van de grote internationale cybersecurity-conferentie Black Hat in Las Vegas. Hun presentatie 'Low Energy to High Energy: Hacking Nearby EV-Chargers Over Bluetooth' bevatte technische details over de kwetsbaarheden in 3 verschillende merken laadpalen die het team eerder dit jaar demonstreerde tijdens hack-competitie Pwn2Own Automotive in Tokio. Met deze kwetsbaarheden was het mogelijk de onderzochte laadpalen volledig over te nemen. Daarvoor hoefden ze alleen maar dicht genoeg in de buurt te zijn.
- Meer informatie over de kwetsbaarheden in verschillende laadpalen die eerder dit jaar zijn gevonden door Computest Security.
Het onderzoek vond plaats in het security lab 'Sector 7' van Computest Security. In drie van de laadpalen, de ChargePoint Home Flex, de Autel MaxiCharger en de Juicebox 40, werden kwetsbaarheden gevonden. Het eerste merk heeft al meer dan 200 miljoen laadpalen verkocht. Elk van de laadpalen was toegankelijk via dezelfde soort kwetsbaarheid waardoor hackers de controle over het systeem kunnen overnemen en het bijvoorbeeld kunnen in- of uitschakelen.
Status van de kwetsbaarheden
De producenten van de laadpalen hebben een half jaar de tijd gekregen om de kwetsbaarheden op te lossen. Nu deze periode voorbij is, was het moment voor onze onderzoekers daar om aan het grote publiek te vertellen over de kwetsbaarheden die ze gevonden hebben én over hoe ze het onderzoeken van de software van de laadpalen hebben aangepakt.
- Bij de Juicebox 40 heeft de leverancier van de software op de laadpaal aangegeven geen update uit te brengen, omdat het product niet meer wordt ondersteund. Deze laadpaal wordt echter nog wel steeds verkocht.
- De gevonden kwetsbaarheden (waaronder een 'achterdeurtje' in de authenticatie) bij de Autel MaxiCharger zijn netjes opgelost met een nieuwe update.
- Tijdens het onderzoek heeft het team bij de ChargePoint Home Flex ook nog per ongeluk toegang gekregen tot de cloud-infrastructuur van de leverancier. Deze kritieke kwetsbaarheid is inmiddels opgelost.
Technische details openbaar
Technische details over de verschillende kwetsbaarheden zijn door de Computest Security researchers per merk laadpaal uitgebreid beschreven:
Write up 1 - Hacking the ChargePoint Home Flex (and their cloud...)
Write up 2 - Hacking the JuiceBox 40
Write up 3 - Hacking the Autel MaxiCharger
Automotive industrie heeft nog te weinig aandacht voor security
Keuper en Alkemade van Computest Security hackten eerder al het infotainmentsysteem dat wordt gebruikt in verschillende modellen van de Volkswagen Groep. Hierbij werd ontdekt dat remote toegang tot een van systemen van de auto mogelijk was. De hack van de laadpalen staat dan ook niet op zichzelf, maar is illustratief voor de geringe mate waarin er binnen de automotive industrie aandacht is voor security.
Computest Security researchers Daan Keuper, Khaled Nassar en Thijs Alkemade.
Meer informatie over het onderzoek
Onze ethische hackers zijn beschikbaar om van gedachten te wisselen en te sparren over de uitkomsten van het onderzoek naar de security van de verschillende typen laadpalen.
Ben je benieuwd wat dit betekent voor andere merken laadpalen en hoe deze kwetsbaarheden voorkomen hadden kunnen worden? Neem contact op met het research team van Computest Security via info@computest.nl of bel naar 088-7331337.