Schneider del EVLink estaciones de carga del coche eran fácilmente hackeable, gracias a un duro contraseña

Zack Whittaker

@zackwhittaker
/
9 horas

Schneider ha fijado tres vulnerabilidades en uno de sus populares coche eléctrico de las estaciones de carga, que los investigadores de seguridad dijo que fácilmente podría haber permitido a un atacante de forma remota por encima de la unidad.

En su peor momento, un atacante puede forzar a un enchufado en el vehículo para detener la carga, haciéndolo inútil en una “negación-de-servicio de estado,” un ataque favorecida por algunos amenaza de los actores, ya que es una manera eficaz de forzar algo para dejar de trabajar.

Los errores se fija con una actualización de software que salió el 2 de septiembre, poco después de que los errores fueron a conocer por primera vez, y limita los detalles de los errores fueron revelados en un documento de apoyo sobre el 20 de diciembre. Ahora, una imagen más completa de las vulnerabilidades, que se encuentra por Nueva York, la firma de seguridad Positiva Tecnologías, fueron liberados hoy, casi un mes más tarde.

Schneider del EVLink estaciones de carga vienen en todas formas y tamaños, algunos por la pared del garaje y algunos en las estaciones de gasolina. Es de las estaciones de recarga en oficinas, hoteles, centros comerciales y garajes de estacionamiento que son vulnerables, dijo Positiva.

En el centro de Positiva la divulgación de Schneider, EVLink de Estacionamiento eléctrico de las estaciones de carga, una de las varias carga de productos de Schneider vende y comercializa principalmente a los complejos de apartamentos, zona privada de aparcamiento, oficinas y municipios. Estas estaciones de carga, como los demás, diseñado para todos los eléctricos y los plug-in de los vehículos eléctricos híbridos — incluyendo Teslas, que tienen su propio conector.

Debido a que el EVLink Aparcamiento de la estación puede ser conectado a Schneider en la nube con la conectividad a internet, ya sea a través de un celular o de una conexión de banda ancha, Positivo, dijo que el web-interfaz de usuario basada en la unidad de carga se puede acceder de forma remota por cualquier persona y fácilmente enviar comandos a la estación de carga — incluso mientras está en uso.

“Un hacker puede detener el proceso de carga, cambiar el dispositivo a modo de reserva, que haría inaccesible para cualquier cliente hasta la reserva modo está desactivado, e incluso desbloquear el cable durante el proceso de carga mediante la manipulación de el encaje de cierre de la escotilla, lo que significa que los atacantes podrían pie con el cable”, dijo Positiva.

“Para el coche eléctrico de los conductores, esto significa no ser capaz de usar sus vehículos, ya que no puede ser acusado,” dijo.

Positivo no decir lo que el ya eliminado de la contraseña, pero, dada la curiosidad, le preguntó, y se actualizará cuando escuchamos de nuevo.

Los investigadores Vladimir Kononovich y Vyacheslav Moskvin también se encuentran otros dos errores que brinda a un atacante acceso completo a más de un dispositivo — una inyección de código falla y una vulnerabilidad de inyección SQL. Ambos estaban fijos en la misma actualización de software.

Schneider no respondió a una solicitud de comentarios. Si eso cambia, vamos a actualizar.

Reporte adicional: Kirsten Korosec.

La ciberseguridad 101: Cinco simples guías de seguridad para proteger su privacidad