Исследователи безопасности (они же хакеры) обнаружили множественные уязвимости у широко распространённых зарядных станций для электромобилей. Обладая определёнными навыками и инструментами любой владелец электрокара может пользоваться зарядкой бесплатно, получая халявную электроэнергию.
Хакеры исследовали станции, оснащённые зарядными устройствами Autel MaxiCharger, ChargePoint Home Flex и JuiceBox 40. Они смогли скачать прошивки, изучили их и нашли уязвимости, позволяющие обходить аутентификацию через Bluetooth, а также переполнять буфер устройства для получения полного контроля над ним.
Прошивки лежали в открытом доступе, хотя ссылки на их скачивание были зашифрованы. Для расшифровки потребовалась лишь подстановка символов методом перебора множества вариантов. Главное условие для взлома зарядной станции — необходимо находится непосредственно рядом с ней в пределах действия Bluetooth. Далее нужно отправить зарядке огромное количество запросов, чтобы переполнить её буферную память и снять защиту, после чего появляется возможность выполнять на ней произвольный код — например, убирающий идентификацию пользователя. В результате зарядка позволит зарядить электромобиль, но не сможет узнать, кто именно ею воспользовался, а следовательно — не спишет деньги с его карты.
Подписаться на iGuides в Telegram, чтобы узнать обо всем первым