Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Brits securitybedrijf ontdekt kwetsbaarheden in EV-opladers

Onderzoekers van cybersecuritybedrijf Pen Test Partners hebben kwetsbaarheden ontdekt in meerdere EV-opladers en -platformen. Er werden kwetsbaarheden ontdekt in de api’s van sommige laadplatformen waardoor accounts en laadpunten overgenomen konden worden.

Volgens Pen Test Partners kan er door de kwetsbaarheden elektriciteit gestolen worden en ten onrechte aangerekend worden aan andere accounts. Gebruikers kunnen door kwaadwilligen ervan weerhouden worden om elektrisch te laden en de stabiliteit van het elektriciteitsnet kan in gevaar komen als hackers erin slagen om oplaadpunten simultaan in werking te laten treden of uit te laten schakelen.

Zes fabrikanten van EV-laadtoestellen passeerden de revue: Hypervolt, Rolec, EO Hub, EVBox, Wallbox en Project EV. Deze fabrikanten worden volgens Pen Test Partners door de Britse overheid gesubsidieerd en worden ook gebruikt op het Europese vasteland.

De oplader van Project EV scoorde het slechtst op vlak van beveiliging. Bij deze oplader was het volgens Pen Test Partners niet nodig om in te loggen met de juiste gegevens. “Het apparaat ging er vanuit dat alle parameters die je ingaf, correct waren”, stelt het bedrijf. "Aan de hand van een eenvoudig te achterhalen serienummer kunnen aanvallers vervolgens toegang krijgen tot de lader."

De onderzoekers maakten gewag van hun bevindingen bij Project EV maar een antwoord bleef naar eigen zeggen uit. "Pas nadat journalisten van de BBC werden ingeschakeld, schoot het bedrijf in actie om betere beveiligingsmaatregelingen te treffen en een firmware-update te pushen voor de opladers."

Bij de merken Wallbox, EO Hub en Hypervolt ontdekte Pen Test Partners eveneens kwetsbaarheden op in de api’s. Bovendien maakten de laders van deze merken gebruik van een ingebouwde Raspberry Pi-module en volgens het bedrijf kan data-extractie door kwaadwilligen hierdoor zeer makkelijk gebeuren. Alle kwetsbaarheden werden volgens Pen Test Partners verholpen, al raadt het bedrijf aan om de Raspberry Pi-modules die nog steeds in gebruik zijn, beter te beveiligen.

Wallbox

Update, 20u40: Risico's kwetsbaarheden verduidelijkt.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Jay Stout

Nieuwsposter

05-08-2021 • 19:31

54 Linkedin

Reacties (54)

Wijzig sortering
Het Agentschap Telecom publiceerde vorige maand een rapport over de cyberrisico's voor ons duurzame energienet. Daarin waarschuwden ze precies voor het op schaal hacken van b.v. zonnepaneel-omvormers, warmtepompen en laadpalen/. Daarmee kan de balans op het net verstoord worden en de boel klappen.

De grote energieleveranciers (centrales) en netbeheerders zijn behoorlijk goed beveiligd (SCADA), maar als je in één klap alle laadpalen kan laten stoppen met laden, heb je zo honderden keer, zeg, 50 kW minder afname op het energienet en kan er een hoop klappen.
Dat EV-Box zo gaat als een tientje is ben ik ook onlangs achter gekomen.
Die EV-Box kan werken middels een extern modem (als die paal zelf geen bereik heeft, in een ondergrondse parkeergarage of zo).

Tussen dat modem en die paal zit een RS485 verbinding, waar EV-Box zelf een ASCII based framing op heeft ontwikkeld. Deze kan je makkelijk uitlezen en reverse engineeren. Als je klaar bent met laden gaat er een ASCII frame van de paal naar het modem dat zegt: "klaar met laden, xx kW afgenomen op pas 12345".

Als je een laadpas kan ontfutselen of je hebt er een van je baas, kan je die pas er tegen houden en vervolgens naar EV-Box een signaal sturen dat je 80kW hebt geladen, zonder ook maar 1 watt je auto in te stoppen.

Op die manier is geld snel verdiend.
Ik ben benieuwd hoe lang het gaat duren tot er cannabisplantages worden ontdekt die stroom stelen via laadpalen.
Is er iemand die kan toelichten waarom het gebruik van PI per definitie een verhoogd risico is, voor zoals bv data-extractie?

Het zou toch in essentie niet hoeven uit te maken welk onderliggend platform wordt gebruikt, als dat gecombineerd wordt met controles en encryptie?

Een proprietary product ipv een PI is waarschijnlijk lastiger te reverse engineeren maar dat maakt het niet sec veiliger.

[Reactie gewijzigd door Eagle Creek op 5 augustus 2021 19:36]

Bij een RPI is de bootloader niet veilig te krijgen, hiervoor heb je hardware ondersteuning nodig.
Het is dus mogelijk unsigned firmware te draaien en daarmee de data te onttrekken.
Het ergste is dat de hardware van de RPi wel gewoon secure boot (of soortgelijk) kan. Je zult het alleen nooit in de bootloader die de Raspi Foundation je mag aanleveren terugvinden.

Als je genoeg geld aan Broadcom betaalt, kun je vast een veilige bootloader bij ze kopen. Niet dat bedrijven als deze dat in de praktijk doen.
Er bestaat geen veilige bootloader voor de RPi.

De RPi heeft verified boot maar de sleutels daarvoor staan op een opslagmedium i.p.v. readonly in hardware.

Je zult dus altijd unsigned firmware kunnen draaien.
Over waarom een Raspberry PI niet veilig is, hebben de onderzoekers ook een stukje geschreven.

https://www.pentestpartne...pi-isnt-suitable-for-iot/

Simpel gezegd, als je fysieke toegang hebt, kun je overal bij.
Pop the cover and pull the SD card, or pull out the Compute Module. Put either in a reader and you have everything you need to decrypt data and recover credentials.
En door de gebrekkige beveiliging van je netwerk kun je een enkele lader die onder jou controle is weer gebruiken om verder het netwerk binnen te dringen.

[Reactie gewijzigd door EmbeddedPower op 6 augustus 2021 09:56]

Ik kan me voorstellen dat er meer 0days voor een Pi zijn.
Maar aan de andere kant is er uiteraard ook veel meer controle op de veiligheid van een Pi dan de in-house ontwikkelde bordjes van de fabrikanten.

Misschien dat Pen Test Partners dat als ze zulke basic fouten in hun software maken, dat ze ook niet in staat zijn een Pi fatsoenlijke te beveiligen/hardenen.
Punt is wel dat Pi's juist zijn gemaakt om zo aanpasbaar en experimenteerbaar mogelijk te zijn.
Dat staat letterlijk 180* op de "security first" gedachte die je voor dit soort dingen wilt hebben.
Ik vind dit ook een beetje vergezocht en ze onderbouwen het niet echt in het originele artikel. Alsof je van stom hardware geen data kan halen als dat niet goed beveiligd is. Het enige wat is daar lees is dat ze het over de hardware hebben van de Pi. Misschien bedoelen ze dat er bepaalde hardware aansluitingen zitten op een Pi waar je wat makkelijker data vanaf kan halen. Maar dat kan natuurlijk ook dichtgetimmerd worden softwarematig. Het hakken op de Pi vind ik inderdaad ook een beetje spijtig.
Van wat ze erover zeggen, lijkt het mij dat ze bedoelen dat de Pi geen TPM ofzo heeft.
Een TPM kan zorgen dat de opslag niet is te lezen of modden buiten dezelfde computer.
En kan zorgen dat die computer alleen vertrouwde software draait (zonder keyloggers etc).
Softwarematige beveiliging daartegen kan je omzeilen, als je de opslag waar die software op staat naar hartelust kan modden. Dan zet je er gewoon andere software op zonder die beveiliging.
Als de Pi zoveel wordt ingezet, is het logisch dat daar kritiek op is. Zou iedereen n ander bord zonder TPM gebruiken, dan kreeg dat andere bord dezelfde kritiek.
Gebruiken custom boards dan altijd een TPM? Dat vraag ik mij af. Veelal werken die custom met "security through obscurity" , maar hebben bijna altijd wel een Com-poort. Daar kun je ook fratsen mee uithalen. Daarnaast, je moet wel fysieke toegang tot zo'n board hebben dan.
Als ze nu een werkend voorbeeld hadden gegeven hoe de boel is aan te passen bij de Pi, dan hadden we er nog wat aangehad...nu blijft het vooral een gevoel. En daar kunnen IT-ers niks mee.

[Reactie gewijzigd door William_H op 6 augustus 2021 10:28]

Hiervoor is support o.a. ARM TrustZone, de issue is dat je een (readonly) pubkey geflashed moet hebben op de hardware om de u-boot/kernel te valideren.

De meeste SBC's hebben dit niet omdat het gebruiksdoel, custom OS/firmware, daarmee onmogelijk wordt gezien deze pubkey in de fabriek wordt geflashed en de private key private moet blijven.

Bij een goed geimplementeerde TrustZone oplossing biedt de seriële poort geen mogelijkheid omdat je u-boot niet kan onderbreken (los van bugs).

Voor de RPi is er dus geen andere oplossing dan fysiek toegang te beperken (epoxy?), indien dat niet mogelijk is zou je naar iets als NXP moeten gaan (uiteraard veel duurder).
Pi werkt ten eerste met een sd kaart waar het OS op draait, daarnaast kan er natuurlijk een standaard pi/admin gebruikersaccount zijn
Als de oplader van de foto gebruikt wordt dan draait de Pi niet van een SD kaart. Op dat moederbord past namelijk een Pi 3 compute module die de opslag van het moederbord gebruikt (waarschijnlijk de chip onder het slot).

Een standaard wachtwoord wil je ook niet op elke andere terminal dus dat heeft niet zoveel met de Pi te maken.
Daarnaast, bij veel embedded devices komen de (security) problemen van het beschikbaar hebben/kunnen maken van serial interfaces, zoals UART's, GPIO en/of SPI.

De PI is een hacker (in de oervorm van het woord) vriendelijk platform en niet bedoeld voor dit soort zaken.
Maar Rolec en EVbox zijn dus wel geslaagd?
rolec: ja, die gebruikt een simkaart en niet het netwerk van de gebruikers, waardoor er geen verbinding mee gemaakt kon worden.
EVbox: nee, maar die hebben de bugs heel snel opgelost
EVBox were the most responsive of all the charger manufacturers. The API vulnerability that allowed account hijack was acknowledged and fixed in around 24 hours, a very impressive response.

On the EVBox API it was possible to change your user role . This was possible by observing the response when a profile was requested and seeing the update to your profile request. Afterwards missing values were tried and verified to be working.

Adding the roles array with any of the accepted role names( that were obtained from the error messages when a random value was added) would make a privilege escalation possible. When adding the tenantadmin role the user had full admin right to the tenant and all chargers that were controlled by it.
Die hadden zo te lezen ook een zwaar probleem omdat je gweoon full admin rechten kon krijgen tot een tenant. Als je dat bij een bedrijf doet waar meer palen voor de deur staan kreeg je dus toegang tot alle palen.
Oké
Maar wat was nou precies de kwetsbaarheid?
Want buiten gratis laden zie ik niet wat er mis kan gaan
Maar om dat nou zozeer een kwetsbaarheid te noemen...
Dat is meer gewoon een bug in het systeem toch?
Bij een kwetsbaarheid ga ik er vanuit dat er daadwerkelijk iets schadelijks kan gebeuren, zoals dat persoonlijke data gestolen kan worden of in dit geval dat je de auto niet meer zou kunnen gebruiken oid
Hoi, heb de risico's in het artikel verduidelijkt!
Er wordt toch bij gratis laden gewoon ook iets gestolen, namelijk electriciteit. Ik zou er niet op zitten te wachten dat iemand bij mijn persoonlijke EVLader ineens kan laden en ook nog zonder te betalen. Ik moet uiteindelijk die stroomkosten gewoon betalen aan mijn energieleverancier.
Het handige is wel dat je dan meteen de dief op heterdaad kunt betrappen, want auto's hebben meestal een kenteken. Ik zou als crimineel niet het risico nemen voor 1 of 2 tientjes elektriciteit.
Als je aanwezig bent bij de paal uiteraard. Ik ben niet altijd thuis en er zijn genoeg palen die de eigenaar niet altijd in de gaten kan houden
Het gehele netwerk van die dingen tegelijk aan en uit zetten heeft de potentie om het energienetwerk plat te gooien omdat de schommelingen in afname te groot kunnen zijn.

Je eigen firmware vanop afstand kunnen installeren zodat je via de oplader het interne netwerk op kan is ook wel een dingetje.

En de mogelijkheid dat als ik tank dat ik dit op jouw rekening doe is ook wel een kwetsbaarheid.

[Reactie gewijzigd door Groningerkoek op 5 augustus 2021 20:19]

Worst case, als je eigen firmware op de lader kan zetten en het een hoogvoltage laadpaal is, is dat het auto's permanent kan beschadigen.

Het is zelfs denkbaar is dat als je een groot aantal V2G laadpalen hackt je een grootschalige stroomstoring kan veroorzaken door wisselend veel vermogen te vragen, en dat dan weer terug te voeren het elektriciteitsnet in, waardoor je spanningswisselingen in de wisselstroom krijgt. Als je veel laders in een gebied hebt is dat echt een serieuze hoeveelheid elektriciteit, sinds deze laadpalen heel veel kunnen gebruiken en terug kunnen leveren, en als dat doelbewust wordt gebruikt om het elektriciteitsnet aan te vallen denk ik niet dat daar iets aan te doen valt.
Nee, er kon wel meer gedaan worden dan gratis laden...
zomaar een stukje uit het begin van het oorspronkelijke artikel:
We could also push updated software (‘firmware’) to the chargers remotely. This allowed us to use the charge point as a remote ‘back door’ in to the users home network, from where we could potentially compromise further devices in the users home.
Het is natuurlijk niet goed. Maar wat hebben ze nu precies aangetoond? Dat je gratis kan laden of data kan vinden welke serienummer wanneer geladen heeft?

Ik heb zelf ook zo'n ding aan de muur en ik vraag me toch af waarom dit een doelwit zou moeten zijn. Wel klassiek en kwalijk dat bedrijven pas reageren als de pers er lucht van krijgt...

[Reactie gewijzigd door gaskabouter op 5 augustus 2021 19:37]

Uit het oorspronkelijke artikel wat je er nu mee kan:
The consequences include:

Theft of electricity by account compromise, charging the costs to legitimate users
Preventing legitimate users from charging, by sending messages to stop the charger
Causing grid stability problems by stopping, starting and stopping charging across many chargers synchronously
Dus gratis laden, laadprocessen van anderen verstoren en simpelweg het laadnetwerk (deels) plat leggen.

Als ik het oorspronkelijke artikel zo lees kon men admin rechten krijg op het laadnetwerk van de desbetreffende units. Dat lijkt mij toch in potentie een dingetje. Krijg je een briefje in je bus. 'Betaal 0,1 BTC of je kan je auto niet meer opladen'.
Begrijp me niet verkeerd het hoort veilig te zijn natuurlijk maar de balans tussen de moeite en kennis die je hiervoor moet (op)doen ten opzichte van wat je criminele activiteiten daadwerkelijk opbrengen lijkt me geen golf van laadpaalhackers te garanderen....
Och; "Koop deze tussensteker voor €100 en je tapt voor altijd gratis!"
Want de hack kan via de laadaansluiting? Je zal hem open moeten maken denk ik op zijn minst?
Meeste van die dingen hebben Wifi (blijft vooralsnog lastig om een werkend en zo goed als automatisch iets op te zetten)
? Die van mij wordt gewoon uitgelezen en geüpdate via 4g of zo? Ik geef ze het serienummer en ze kunnen hem zo overnemen.

De Eneco mensen
Bij Eneco kun je ze inderdaad met simkaart nemen, maar veel opladers werken via wi-fi.
Dat lijkt me eerlijk gezegd stug. Op welk wifi netwerk zitten die dingen dan in een parkeergarage of weet ik waar?
Als ik zo'n ding koop en bij huis/bedrijf neem en op mijn eigen meterkast aansluit en niet openstel voor anderen waarom zou ik dan een simkaart nemen terwijl ik zelf al wi-fi heb om met dat ding te verbinden (als ik dat al zou willen), die kaart kost elke maand geld wat nergens voor nodig is.

Ook Eneco bied trouwens laders zonder simkaart aan, dus ik snap niet wat jij daar zo stug aan vindt.

[Reactie gewijzigd door Groningerkoek op 6 augustus 2021 00:51]

Ik heb geen idee hoe al die hacks werken. Het was maar een situatieschets.
Je vergeet 1 ding. De Crimineel is bijna nooit de hacker. Daar gaat het voor criminelen ook vaak fout. Ze hebben geen geduld en zijn vaak slordig. En zo lopen ze tegen de lamp. Hacks worden vaak aangekocht en er hoeft maar 1 hacker het een uitdaging te vinden en willen verkopen en iedereen is de sjaak.
Als het te simpel is dan is criminaliteit 1 ding, maar gaan mensen het ook voor de lol doen gewoon omdat het kan.
Volgens mij gaat het om het complete energie netwerk te verstoren, niet alleen het oplaad netwerk. Is wel logisch als bijvoorbeeld duizenden laders ineens met de maximale snelheid de auto op gaan laden of ineens stoppen. Kan grote spikes in beide richtingen veroorzaken waarvoor delen van het netwerk misschien niet voor gebouwd zijn.
Een beetje een raar antwoord van iemand op tweakers.
Jouw ding aan de muur zal geen doelwit op zich zijn maar we leggen gezellig een stroomnetwerk plat als we voldoende An dit type boxjes hebben. En dat is het een krachtig wapen . Ddos op stroomnetwerk met zware en dure gevolgen
Kijk als je een heel netwerk kan manipuleren is het foute boel. Maar een laadpaal slopen om dan uren lang je bloos te stellen aan de kans dat je gepakt wordt is natuurlijk niet aannemelijk.
Dan kan je beter een paar laad passen kopiëren, en dan nog loop je uren lang risico.
Ik ken de genoemde palen niet, maar gaat dit om thuis laders of publiek, dat maakt nog al een verschil.
Als ik iemand zie keren in de straat wat opzich al belachelijk is en hij rijd mijn oprit op dan kijk ik al vreemd, laat staan dat hij probeert uren te laden.
Het wordt natuurlijk snel lucratiever als je je eigen laadpaal onder handen neemt. Als deze doorgeeft aan het back office dat er 80 kw geladen is als je er maar 40 echt geladen hebt dan zou je je zonnepanelen echt een stuk sneller terug verdienen.
Helaas betaalt mijn baas mijn stroom niet ;)
Mijn werkgever betaalt wel mijn ev kosten, die van mijn vrouw betaal ik zelf.
Maar als je dat vaak zou doen begint het natuurlijk wel op te vallen.
Bij tanken en niet betalen ben je in 5 minuten weg, bij laden sta je al snel een half uur.
The s in IoT stands for security.
De onderzoekers maakten gewag van hun bevindingen bij Project EV maar een antwoord bleef naar eigen zeggen uit. "Pas nadat journalisten van de BBC werden ingeschakeld, schoot het bedrijf in actie om betere beveiligingsmaatregelingen te treffen en een firmware-update te pushen voor de opladers."
Wat kan een achterliggende reden zijn om op deze manier te acteren als bedrijf?
[...]
Wat kan een achterliggende reden zijn om op deze manier te acteren als bedrijf?
de een of andere middle manager die niets van IT snapt denkt: Hmmm wat een onzin, het gaat geld kosten om daar op te reageren en dat gaat van MIJN budget af. Dat doen we dus niet.

Als er dan herrie in de pers is, roept de afdeling marketing plotseling..Dat kost ons onze goede naam en dus GELD doe iets

[Reactie gewijzigd door Ortep op 5 augustus 2021 19:54]

of een "waar bemoeien ze zich mee? wij hebben wel andere prioriteiten" denkpatroon totdat de aandeelhouders of CEO de slechte PR onder de neus geduwd krijgt door een medium met grote draagwijdte zoals de BBC.
Kop in het zand steken en hopen dat het probleem verdwijnt zonder dat het je geld of reputatie kost.
Lijkt niet een enorme effort te zijn geweest om kwetsbaarheden te vinden. Zeker gezien deze handel op OCPP 1.6 Draait en of aan wifi of, in sommige gevallen. Uit eerste hand weet ik dat het algehele security concept vrij weinig voorsteld. De vraag is niet of de vraag is hoe lek de meuk is.

Over het algemeen draait privaat, semipubliek en publiek op een zelfde hard- & software architectuur dus gaat het voor beide op. Interessant wordt het als je een populatie aanvallen kan en het net kan destabiliseren of gewoon half Nederland hun auto niet laden kan. Privé vervelend is dat niet opladen maar nog vervelender is het veranderen van de instellingen. Schakel laadprofielen/overbelasting preventie uit en je zit gewoon plots in het donker.

[Reactie gewijzigd door GoldenSample op 5 augustus 2021 23:10]

Je auto bepaald natuurlijk zelf wel door de hardware hoe snel die laad, was het maar zo dat je zomaar sneller kon laden.
Mijn auto heeft geen benul van de hoofdzekering en andere verbruikers in huis. Dus op het moment dat je daardoor lekker meer dan de max door de hoofdzekering ramt wordt het vanzelf donker.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True