Laadpalen eenvoudig over te nemen via Bluetooth-verbinding
Drie Nederlandse ethische hackers van Computest Security, Daan Keuper, Thijs Alkemade en Khaled Nassar, hebben kwetsbaarheden gevonden in drie laadpalen van Amerikaanse makelij. De bevindingen van de hackers werden gepresenteerd tijdens de prestigieuze hackwedstrijd Pwn2Own Automotive, onderdeel van de Automotive World conferentie in Tokio. Zij toonden aan dat de palen relatief eenvoudig via Bluetooth kunnen worden overgenomen zonder dat men beschikking hoeft hebben over gegevens van de gebruiker. Met de vondst van de kwetsbaarheden wist het team hackers een bedrag van 67.500 USD in de wacht te slepen.
“De relatieve eenvoud waarmee we toegang konden krijgen tot de laadpalen laat zien dat security geen factor is geweest bij het ontwerp van de palen”, stelt Daan Keuper, Head of Security Research bij Computest Security. “Het zijn voor de hand liggende kwetsbaarheden die een fabrikant ook had kunnen ontdekken met het uitvoeren van een security-test. Het feit dat dit is verzuimd laat zien dat apparaten die online verbonden zijn zoals laadpalen, achterlopen op het gebied van security en hier nog veel winst te behalen valt.”
De hackwedstrijd, die werd georganiseerd tijdens de Automotive World conferentie in Tokio, is met name gericht op producten en platformen die gerelateerd zijn aan elektrische auto’s. Naast laadpalen maken bijvoorbeeld ook infotainmentsystemen en besturingssytemen onderdeel uit van de competitie. Doordat het elektrische wagenpark snel groeit en auto’s steeds meer connected zijn, nemen ook de mogelijkheden om onderdelen te hacken toe. Zo kunnen mobiele apps, Bluetooth-verbindingen en het Open Charge Point Protocol ervoor zorgen dat kwaadwillenden schade kunnen toebrengen aan de auto’s. Verder kan toegang tot de laadpaal een manier zijn om ook binnen te komen bij andere IoT-toepassingen die in en om woningen worden gebruikt.
Laadpalen met kwetsbaarheden
Voor de wedstrijd onderzocht het team van Computest Security in het eigen security lab Sector 7, vier laadpalen voor thuisgebruik. Deze kunnen gebruikt worden op netwerken van 110 volt. In drie van de laadpalen, de ChargePoint Home Flex, de Autel MaxiCharger en de Juicebox 40, werden kwetsbaarheden gevonden. Het eerste merk heeft overigens al meer dan 200 miljoen laadpalen verkocht. Elk van de laadpalen was toegankelijk via dezelfde soort kwetsbaarheid waardoor hackers de controle over het systeem kunnen overnemen en het bijvoorbeeld kunnen in- of uitschakelen.
De laadpaal waarbij geen kwetsbaarheid is geconstateerd, maakte voor de connectiviteit van de paal en de bijbehorende app, gebruik van het Amazon IoT cloud-platform. Dit zorgt ervoor dat de basisfuncties die nodig zijn voor de IoT-apparatuur door Amazon worden gefaciliteerd. Security is hierbij dan al gewaarborgd. Bij de andere laadpalen wordt gebruikgemaakt van zelf ontworpen systemen waar security duidelijk niet standaard wordt meegenomen.
Automotive industrie heeft nog te weinig aandacht voor security
Het team van Computest Security hackte eerder al het infotainmentsysteem dat wordt gebruikt in verschillende modellen van de Volkswagen Auto Groep. Hierbij werd ontdekt dat remote toegang tot een van systemen van de auto mogelijk was. De hack van de laadpalen staat volgens Keuper dan ook niet op zichzelf, maar is illustratief voor de geringe mate waarin er binnen de automotive industrie aandacht is voor security.
Het research team van Computest Security: v.l.n.r Daan Keuper, Khaled Nassar en Thijs Alkemade.
“In Nederland zien we periodiek berichten over onveiligheid van laadinfrastructuur, het klonen van laadpassen is ook al jaren een bekend probleem dat nog steeds niet is opgelost. Je ziet wel dat er door samenwerkingsverbanden als de NAL (Nationale Agenda Laadinfrastructuur) meer aandacht komt voor security en dat eLaad zelfs richtlijnen heeft opgesteld voor de security van laadpalen. Als deze echter niet worden geadopteerd dan hebben deze weinig nut.”
Afdwingen naleving NIS2 en Cyber Resilience Act
Keuper pleit dan ook voor standaardisatie van systemen en het afdwingen van de naleving van security-richtlijnen zoals de Europese Cyber Resilience Act en NIS2. Bij de laatste is expliciet beschreven dat leveranciers van publieke laadpalen moeten voldoen aan deze regelgeving. “We moeten daarbij wel voorkomen dat security alleen een compliance issue wordt aangezien organisaties hierdoor vaak minder open zijn en men minder van elkaar kan leren. Het waarborgen van security zou een kwestie van intrinsieke motivatie moeten zijn.”
Meer informatie over het onderzoek
Onze ethische hackers zijn beschikbaar om van gedachten te wisselen en te sparren over de uitkomsten van het onderzoek naar de security van de verschillende typen laadpalen.
Ben je benieuwd naar de technische details, de gevolgen van de gevonden kwetsbaarheden of hoe deze kwetsbaarheden voorkomen hadden kunnen worden? Neem contact op met het research team van Computest Security via info@computest.nl of bel naar 088-7331337.