Le stazioni di ricarica per auto EVLink di Schneider sono facilmente intercettabili, grazie a una password hardcoded: TechCrunch


Schneider ha risolto tre vulnerabilità in una delle sue famose stazioni di ricarica per auto elettriche, che i ricercatori della sicurezza hanno detto che avrebbe potuto facilmente consentire a un utente malintenzionato di prendere il controllo remoto dell'unità.

Nel peggiore dei casi, un utente malintenzionato può costringere un veicolo collegato a interrompere la ricarica, rendendolo inutile in uno "stato di negazione del servizio", un attacco favorito da alcuni attori della minaccia poiché è un modo efficace per forzare qualcosa a smettere di funzionare.

I bug sono stati corretti con un aggiornamento software che è stato rilasciato il 2 settembre poco dopo la divulgazione dei bug, e dettagli del bug sono stati rivelati in un documento di supporto il 20 dicembre. Ora, un quadro più completo delle vulnerabilità, trovato da New La società di sicurezza Positive Technologies, con sede a York, è stata rilasciata oggi – quasi un mese dopo.

Le stazioni di ricarica EVLink di Schneider sono disponibili in tutte le forme e dimensioni: alcune per il muro del garage e alcune per le stazioni di servizio. Sono le stazioni di ricarica di uffici, hotel, centri commerciali e parcheggi che sono vulnerabili, ha detto Positive.

Al centro della rivelazione di Positive ci sono le stazioni di ricarica elettriche EVLink Parking di Schneider, uno dei numerosi prodotti di ricarica venduti da Schneider e commercializzati principalmente in complessi residenziali, parcheggi privati, uffici e comuni. Queste stazioni di ricarica sono, come altre, progettate per veicoli elettrici ibridi plug-in e completamente elettrici – tra cui Teslas, che dispongono di un proprio connettore proprietario.

Poiché la stazione di parcheggio EVLink può essere collegata al cloud di Schneider con la connettività Internet, tramite una cella o una connessione a banda larga, Positive ha affermato che l'interfaccia utente basata su Web sull'unità di ricarica può essere accessibile da remoto a chiunque e inviare facilmente comandi alla ricarica stazione – anche quando è in uso.

"Un hacker può interrompere il processo di ricarica, passare il dispositivo alla modalità di prenotazione, che lo renderebbe inaccessibile a qualsiasi cliente fino alla disattivazione della modalità di prenotazione, e persino sbloccare il cavo durante la carica manipolando il portello di blocco della presa, il che significa che gli attaccanti potrebbero a piedi con il cavo ", ha detto Positive.

"Per i conducenti di auto elettriche, questo significa non essere in grado di utilizzare i loro veicoli in quanto non possono essere caricati", ha detto.

Positivo non ha detto quale sia stata la password rimossa, ma, data la curiosità, abbiamo chiesto e aggiorneremo quando ci sentiremo.

I ricercatori Vladimir Kononovich e Vyacheslav Moskvin hanno anche rilevato altri due bug che danno a un utente malintenzionato l'accesso completo su un dispositivo: un difetto di iniezione del codice e una vulnerabilità di SQL injection. Entrambi sono stati risolti nello stesso aggiornamento del software.

Schneider non ha risposto a una richiesta di commento. Se questo cambia, aggiorneremo.

Segnalazione aggiuntiva: Kirsten Korosec.