Onderzoekers van cybersecuritybedrijf Pen Test Partners hebben kwetsbaarheden ontdekt in meerdere EV-opladers en -platformen. Er werden kwetsbaarheden ontdekt in de api’s van sommige laadplatformen waardoor accounts en laadpunten overgenomen konden worden.
Volgens Pen Test Partners kan er door de kwetsbaarheden elektriciteit gestolen worden en ten onrechte aangerekend worden aan andere accounts. Gebruikers kunnen door kwaadwilligen ervan weerhouden worden om elektrisch te laden en de stabiliteit van het elektriciteitsnet kan in gevaar komen als hackers erin slagen om oplaadpunten simultaan in werking te laten treden of uit te laten schakelen.
Zes fabrikanten van EV-laadtoestellen passeerden de revue: Hypervolt, Rolec, EO Hub, EVBox, Wallbox en Project EV. Deze fabrikanten worden volgens Pen Test Partners door de Britse overheid gesubsidieerd en worden ook gebruikt op het Europese vasteland.
De oplader van Project EV scoorde het slechtst op vlak van beveiliging. Bij deze oplader was het volgens Pen Test Partners niet nodig om in te loggen met de juiste gegevens. “Het apparaat ging er vanuit dat alle parameters die je ingaf, correct waren”, stelt het bedrijf. "Aan de hand van een eenvoudig te achterhalen serienummer kunnen aanvallers vervolgens toegang krijgen tot de lader."
De onderzoekers maakten gewag van hun bevindingen bij Project EV maar een antwoord bleef naar eigen zeggen uit. "Pas nadat journalisten van de BBC werden ingeschakeld, schoot het bedrijf in actie om betere beveiligingsmaatregelingen te treffen en een firmware-update te pushen voor de opladers."
Bij de merken Wallbox, EO Hub en Hypervolt ontdekte Pen Test Partners eveneens kwetsbaarheden op in de api’s. Bovendien maakten de laders van deze merken gebruik van een ingebouwde Raspberry Pi-module en volgens het bedrijf kan data-extractie door kwaadwilligen hierdoor zeer makkelijk gebeuren. Alle kwetsbaarheden werden volgens Pen Test Partners verholpen, al raadt het bedrijf aan om de Raspberry Pi-modules die nog steeds in gebruik zijn, beter te beveiligen.