Éppen tegnap számoltunk be róla, hogy az idei Pwn2Own hekkerverseny azzal jutalmazzák egy Tesla Model 3 rendszerének feltörését, hogy a győztes haza is viheti az alsó hangon 35 ezer dollárt érő járművet. Ennél kevésébé menő, de potenciálisan nem kevésbé kártékony az elektromobilitást kiszolgáló infrastruktúra, mondjuk az e-töltőállomások feltörése, amelyek ugyancsak az internetre csatlakozó eszközök, és ma már nem meglepő módon szintén szoftveres vezérléssel működnek – erre példa a a Schneider Electric nemrég kiadott értesítése, amelyben ilyen hibákra hívta fel a figyelmet.

Ami a netre csatlakozik, annak annyi

Három sebezhetőséget is be kellett foltozni a francia multi által gyártott, közületi vagy kereskedelmi felhasználásra szánt EVlink Parking töltőállomásokkal kapcsolatban, amelyek esetenként az egység fölötti ellenőrzés távoli átvételére is lehetőséget adtak. A vállalattal évek óta együttműködő, moszkvai központú Positive Technologies szakemberei még tavaly májusban hívták fel a figyelmet a kritikus, a magas és a közepes kockázati kategóriába sorolt hibákra, amelyekkel kapcsolatban a vállalat karácsony előtt adott ki figyelmeztetést, firmware-frissítésre szólítva fel az érintett eszközök üzemeltetőit.

A legsúlyosabb sérülékenységet egy fizikailag kódolt hitelesítési problémaként írják le, amelynek kihasználásával a támadók teljes körű jogosultsággl férhetnek hozzá az állomásokhoz. A második esetben ugyanehhez a megfelelő kód távolról való futtatására van szükség, míg a harmadik az állomás webes felületéhez való hozzáféréssel kapcsolatos – ez utóbbi azért érdekes, mert a közösségi felhasználású eszközök a Schneider Electric cloud rendszerére csatlakozhatnak mobil vagy vezetékes kapcsolaton keresztül, és ugyanígy parancsokat is lehet küldeni az állomásoknak.
 

Az online kapcsolat nagyon hasznos, ameddig nem a hekkerek használják

A beszámolók a Positive Technologies szakembereit idézik, amelynek alapján a hekkerek a nem frissített rendszereknél leállíthatják az adott járművek töltését, általánosságban üzemen kívül helyezhetik a töltőket, de még a kábeleket is lecsatlakoztathatják róluk és elsétálhatnak velük – olyasmiről nem is szólva, hogy a megfelelő esetekben ingyenesen tölthetnek fel járműveket, ugyancsak a sérülékenységek kihasználásával. Ez önmagában nem tűnik világra szóló problémának, de nem csak az elektromos autókat lehet megbénítani vele, hanem a technológia terjedésével az elektromos hálózatok működésébe is egyre jobban bele lehet zavarni.

A Schneider Electric azóta szűkszavú közleményben tudatta: nincs tudomása róla, hogy a frissítések kiadásáig a fenti hibákat bárki is kihasználta volna a gyakorlatban.