Nederlandse onderzoekers vinden bluetoothkwetsbaarheden in drie EV-laders

Nederlandse beveiligingsonderzoekers hebben diverse kwetsbaarheden gevonden in laders voor elektrische voertuigen. Ze konden daardoor zonder authenticatie code uitvoeren op de laders. De bevindingen kwamen naar boven tijdens een hackcompetitie.

Onderzoekers Thijs Alkemade, Daan Keuper en Khaled Nassar van het Nederlandse Computest ontdekten de kwetsbaarheden tijdens een nieuwe Pwn2Own-wedstrijd, waaraan het trio verschillende keren eerder heeft meegedaan. In die wedstrijd krijgen teams van hackers de kans bepaalde soft- of hardware te hacken. Voor die hacks worden punten uitgedeeld, waar vervolgens een winnaar uit komt rollen.

"Pwn2own heeft nu een nieuwe wedstrijd, Pwn2own Automotive, waarbij hackers onder andere laders voor elektrische auto's kunnen proberen te hacken", vertelt Alkemade aan Tweakers op Black Hat. Alkemade en zijn collega Nassar gaven op de cybersecurityconferentie in Las Vegas een presentatie over hun bevindingen. "We hebben exploits gevonden in drie verschillende EV-laders", zegt Alkemade. Het gaat om de Autel MaxiCharger, de ChargePoint Home Flex en het JuiceBox 40 Smart EV Charging Station. Die laders worden voornamelijk in de VS gebruikt. Alle drie de laders zijn thuisladers, maar bij een van de laders is het mogelijk om daar een publieke laadpaal van te maken.

"De bugs die we vonden, konden worden uitgebuit via bluetooth", zegt Alkemade. "Daarmee hoef je alleen maar binnen bluetoothbereik van een lader te zijn en niet eerst toegang te krijgen tot een wifinetwerk." De onderzoekers omschrijven in een van hun hun onderzoeken hoe ze bij de ChargePoint-lader al heel snel een bruikbare kwetsbaarheid vonden. Nassar: "Bij het eerste dat we probeerden, was het raak. Bij het configureren van het apparaat via bluetooth was het mogelijk een command injection uit te voeren in het wifiwachtwoordveld. We baseerden ons op eerder onderzoek dat was gedaan door Kaspersky, dat eerder die functionaliteit had onderzocht. In die functionaliteit bleek toen de command injection-bug te zitten. We zijn eerst gaan kijken naar een soortgelijke bufferoverflow en die konden we binnen een halfuur veroorzaken." Alkemade: "Ik kon het niet geloven toen Khaled me dat voor het eerst vertelde."

Code uitvoeren op laders

De bugs maken het mogelijk om zonder authenticatie code uit te voeren op de laders. De Autel MaxiCharger maakt bijvoorbeeld gebruik van hardcoded credentials als een aanvankelijke authenticatiepoging mislukt. Bij een ander lek, dat in de Gecko OS-implementatie van een van de laders zit, wordt input niet goed gevalideerd en kan een aanvaller een stack-based bufferoverflow veroorzaken. De onderzoekers hebben van een van de kwetsbaarheden hun bevindingen al gepubliceerd. De andere twee onderzoeken zijn nog niet openbaar, maar Tweakers heeft ze al wel kunnen lezen.

Wat een aanvaller vervolgens kan doen, is afhankelijk van het model. "Bij minimaal een van de modellen is het bijvoorbeeld mogelijk bepaalde veiligheidscontroles uit te schakelen, zoals het throttlen bij hoge temperaturen", zegt Alkemade. "En natuurlijk zijn er de standaardaanvallen die bij alle iot-apparaten een risico opleveren, zoals het doorspringen naar de rest van het netwerk of waarbij een apparaat in een botnet wordt opgenomen."

Bughunting

Een dergelijke, vrij eenvoudige bug is in een wedstrijd als Pwn2own niet per se goed. Alkemade: "Het gaat niet om wie het snelst een bug vindt, maar om welke bug het stabielst is. Bij Pwn2own word je als team ook op een bepaalde plek in de rij gezet. Als je later aan de beurt bent met je presentatie, wil je niet dat een van de teams voor je al dezelfde bug kan presenteren. Je wil er daarom voor zorgen dat je niet de makkelijkste bug gebruikt in de wedstrijd, dus zijn we ook verder gaan zoeken naar een minder voor de hand liggende bug. En als je die niet vindt, heb je altijd iets om op terug te vallen."

De bugs die Alkemade, Nassar en hun collega Daan Keuper ontdekten, waren alsnog relatief eenvoudig. Bij de Juicebox-lader zat een kwetsbaarheid in het embedded Gecko-besturingssysteem waarin de onderzoekers een out-of-bounds-write-bug vonden. In de andere laders vonden ze verschillende bufferoverflows. "Bij iot-apparaten zie je heel vaak dit soort problemen voorkomen", zegt Alkemade. De potentiële schade van de hack is overigens beperkt. Niet alleen is hij lastig uit te buiten doordat aanvallers binnen bluetoothbereik moeten zijn, de mogelijkheid om arbitraire code uit te voeren op een lader is hooguit schadelijk voor de eindgebruiker, maar niet voor het elektriciteitsnetwerk in het algemeen.

Het moeilijkste aan het vinden van de bugs is de start, zeggen de onderzoekers. Alkemade: "Je moet eerst proberen een firmwaredump te doen. Dat kan bijvoorbeeld door een update te downloaden en die te onderscheppen." Zo'n update wordt soms niet goed beveiligd. "Het wordt vaak geobfusceerd, maar niet erg goed. Fabrikanten denken in zo'n geval dat ze ermee voorkomen dat concurrenten de software kopiëren, maar ze houden dan geen rekening met beveiligingsonderzoekers." Uiteindelijk, zeggen Alkemade en Nassar, duurde het achterhalen en uitlezen van de firmware nog het langst in het onderzoek.

Firmwaredump

Hackers die meedoen aan Pwn2own, moeten hun bevindingen via responsible disclosure doorgeven aan de fabrikanten. Dat deed het Computest-team ook. Bij twee van de fabrikanten is het probleem inmiddels opgelost. "Maar bij ChargePoint weten we dat eigenlijk niet. Dat heeft niets laten weten." De onderzoekers hebben de nieuwe firmware ook zelf nog niet kunnen testen. Zero Day Initiative, de organisator van Pwn2own, zegt in een advisory dat het er daarom vanuit moet gaan dat de apparaten nog steeds kwetsbaar zijn. De enige mitigatie is dan ook om 'interactie met de applicatie te beperken'.

Door Tijs Hofmans

Nieuwscoördinator

09-08-2024 • 10:25

31

Lees meer

Reacties (31)

Sorteer op:

Weergave:

Waarom zit er überhaupt bluetooth op? Bluetooth op een andere chip was ook een verbetering geweest. Dan kun je bluetooth bijvoorbeeld alleen leestoegang geven. Maar bluetooth draaien waar ook de firmware op draait is echt dom.
Initiële configuratie. Veel palen hebben buiten 4G of een ander IoT netwerk geen data-link, en om een paal, zeker een thuis paal, initieel te configureren is een PAN-netwerk wat ook op elke smartphone zit een goeie "opstart". Je gebruikt het om:

- De data-verbinding van de paal verder te configureren (wifi, ethernet, een IoT net, of 4G/5G)
- De paal met eventuele loadbalancers of andere netsturende maatregelen te verbinden (denk aan CT klemmen voor load balancing, denk aan p1 uitlezerij, denk aan een zonnepaneel omvormer zodat de paal alleen vanaf de panelen laad)
- De veiligheidssystemen en stroomsystemen van de paal te configuren (1/3 fase; 8A/16A/32A, etc...)
- Eventuele back-office voorzieningen, zoals een stroommeter/doorbelastingsmodule (soms ook voor privépalen een wens)

Zeker voor (semi-) commerciële palen is bluetooth voor initial setup erg fijn, want niet elk bedrijf wil een lading IOT apparatuur zoals palen over hun gewone wifi/data, en 4G/5G is niet altijd off-the-shelf omdat, als het er in zit, er veelal E-SIMs zijn gebruikt.
Maar zou je dan niet verwachten dat de Bluetooth na het configureren weer uit gaat? Als je dat bij dagelijks gebruik niet nodig hebt zou ik verwachten dat het alleen kort aan gaat na een reboot bijv.

Er zijn ook veel apparaten die bij de eerste start een Wifi hotspot opzetten en een servertje draaien waarop je de boel in kan stellen. Daarna gaat die server weer uit (en wordt de wifi eventueel gebruikt om te verbinden met aan bestaand netwerk). Zou dat geen optie zijn geweest?

edit: hoewel ze dan vast wel weer een bug vinden in verouderde server software oid :p

[Reactie gewijzigd door Heedless op 9 augustus 2024 12:20]

Alleen om een paal initieel te configureren is bluetooth er maar vast inbouwen nogal omslachtig en risicovol. Dat was jaren geleden al duidelijk en een reden om voor dat soort configuratie en onderhoud een fysieke verbinding achter enkele fysiek sloten te willen. Wat meestal al nodig was om andere aanpassingen en onderhoud te kunnen doen.

Bluetooth is daarom ook in gebruik zodat gebruikers de gegevens kunnen uitlezen. Maar dat zien we vooral bij oplaadpunten voor thuisgebruik. Buiten willen de leveranciers graag dat klanten gebruik van hun online diensten gebruik maken.
Grappig dat je 4/5G noemt. Ik kreeg van de week een mailtje van Last Mile Solution dat de providers ophouden met 2/3G (wat al heel lang bekend is) en dat er een kans is dat een heleboel laadpalen dan niet meer werken.
Mijn eerste gedachten waren: Dat weet je toch al heel lang en ga als de donder het probleem oplossen.
Gezien de aantallen laadpalen in Nederland is dat redelijk makkelijk te doen in de tijd dat 2g/3g er nog is. Zeker als je bedenkt dat alles wat recentelijk is geleverd (zeg laatste anderhalf jaar of langer geleden) als een 4g modem heeft. Het gaat echt alleen om de oudere laadpalen.
Volgens mij gaat dit en volgend jaar 2G er uit. Ik vraag me af of mijn laadpaal dan waardeloos is.
Don't shoot the messenger, in dit geval een hardwarebouwer die een bepaalde technologie gebruikt. Zonder inhoudelijk te weten wat er wanneer er door moet kunnen gaan, is het niet mogelijk om daar uitspraken over te doen.
Ik ken een Charge Point Operator die al jaren actief een zero-day (die ze zelf hebben gevonden) gebruikt om vastgelopen palen van een bepaald merk op afstand op een speciale manier te resetten wanneer dat nodig is :+ . Geen idee wat de zero-day precies is, maar vind het altijd wel een grappig verhaal. Ze haten die palen echt met een passie volgens mij, maar het is rendabeler om ze nog niet te vervangen.
Het is nig te klein om een serieuze impact te hebben. Er zijn in Nederland ca 40000 laadpalen die op afstand benaderbaar zijn. Als een deel daarvan deze bug heeft praat je misschien maar over een paar duizend gevallen. Een zero day in een niche product is wat anders dan een zero day in Windows.
Voor wie het interessant vind, afgelopen jaar deed de gemeente Den Haag wederom hun hack evenement, en die keer was ook hun laadpaalleverancier aanwezig met laadpalen e.d. om te kijken of je erin kon komen. Geen idee of ze dit jaar ook weer meedoen, maar wel een kans in Nederland als dit je interesseert om hieraan mee te doen.
https://www.hackthehague.com/
Iemand die weet of auto's met 'normale' motoren en direct afhankelijk zijn van een computer storingen kunnen vertonen? Is dit gemakkelijk te hacken of bij te stellen?
Ik weet niet exact wat je bedoeld maar het motormanagement en andere kritieke delen van de auto zoals besturing, remmen, verlichting, zijn altijd gescheiden van de multimedia computer.

Deze delen zijn dus ook niet te bereiken via wifi/bluetooth/internet.

Als voorbeeld bij Tesla, ik kan daar al rijdend het gehele multimedia gedeelte resetten, scherm wordt zwart etc, maar de auto rijd gewoon door.

[Reactie gewijzigd door Navi op 9 augustus 2024 14:21]

Het lijkt mij dat als je geen updates krijgt het systeem, motor-management en multimedia, kwetsbaar kunnen worden.

Onze wagen gaf allerlei rare storingen, en dat is een verhaal apart. Tesla, Ford, Volkswagen, Kia, Peugeot, BMW, Link&Co en elk ander merk willen uitblinken en de gebruiker een ultiem gevoel bieden. Rijervaring, veiligheid en het onderhoud van een auto zijn onlosmakelijk met elkaar verbonden.

Deze race naar beter en slimmer onderhoud van het wagenpark duurt voort.
Een elektrische motor is de meest normale. Plofmotoren zijn pas veel later verzonnen.
Ik denk niet dat we benzinemotoren niet zomaar aan de kant kunnen schuiven. Het begon met paarden en zo wordt een krachtbron, het vermogen, in een wagen nog wel eens aangeduid met pk’s.
Impact op elektriciteitsnetwerk zal weliswaar beperkt zijn, maar ben benieuwd of je met de exploit gratis/ongeauthenticeerd kan laden op andermans energieverbruik.
hmmm, een IoT botnet met 100.000 laadpalen, en je laat ze allemaal tegelijk super laad pieken op het net zetten, denk weer extra ideetje voor onze chinese en russische vriendjes om lullig te komen doen :)
Tsja als je weigert om zelf een fatsoenlijke ICT industrie op te bouwen dan lever je jezelf over aan anderen.

Overigens is dat niet nieuw we hebben voor een maand aan aardolie voorraden. De Saudis hebben al lang geleden de olie industrie genationaliseerd en Shell eruit geknikkerd.
En tegelijk de Chinezen vragen om alle zonnestroom-omvormers in Nederland tegelijk uit te schakelen - of "mooier" nog - aan/uit/aan/uit/aan/uit.

Daar gaat ons stroomnet. Ik las eens een schatting dat een westerse samenleving als de Nederlandse na een dag of 7 in totale chaos en anarchie uit zal monden. Ik hoop maar dat we het niet mee gaan maken.
Je mag gerust zijn dat we het gaan meemaken, in Frankrijk worden al regelmatig hele departementen om de beurt zonder stroom gezet,

Heb hier op tweakers ook al gelezen dat ze diesel generators aan het inzetten zijn om hier en daar electrische wagens op te laden !!!!!

En europa blijft maar blazen dat in 2030 alle wagens electrisch moeten zijn, domme domme domme oetlullen zijn het (en slaafjes van de auto industrie lobby)

Er is niets milieuvriendelijker dan mijn 16 jaar oude diesel wagen met 290.000 km op de teller. (de milieukost voor de productie van een gemiddelde electrische wagen wordt volgens sommige studies maar terugbetaald na 400.000 km electrisch rijden, good luck om een batterij of auto te vinden die nu gemaakt wordt die zo lang gaat meegaan, en nog "better luck" om die dan niet te moeten opladen via een dieselgenerator in de straat (of duitse electriciteit gemaakt met bruinkool)

Ik ben super voor het milieu , (rij als ik kan met de fiets, mij zul je niet in de wagen zien in het weekend tenzij het 20+km is)
Maar 99% van al deze maatregelen is gewoon kassa kassa voor de industrie,

de beste wagen voor het milieu is die dat niet geproduceerd wordt,
het tweede beste voor het milieu is die waar niet mee gereden wordt,

de enige ECHTE oplossing is gewoon een kilometer heffing met de werkelijke milieukost, ook rekening houdend waar je rijd, wanneer je rijd zelfs (spitsuren), vooral HOEVEEL JE AUTO WEEGT (waarom is een dikke hybride porshe jeep van 3 ton beter voor het milieu dan een oude zeer kleine benzine wagen ??) en hoe je wagen op die moment voortgedreven wordt (dus een hybride die in de stad electrisch rijd en dan op de autostrade op benzine daar wordt allemaal rekening mee gehouden)

ook geen zever meer met oldtimer nummerplaten, gewoon iedereen betaald de werkelijke kost.
(en ook meteen nog grotere zeker afschaffen zoals GEEN tax op vliegtuigbrandstof !!!!!!!!!!)
ook werkelijke kost rekenen (voor het milieu) aan de containerschepen met alle niet duurzame rommel van uit china, kan er allemaal voor zorgen dat we weer lokaal terug zaken gaan produceren die 30+ jaar betaalbaar en makkelijk hersteld kunnen worden, weg met de reuze afvalberg, maarja, daar is één groot probleem mee gemoeid, dat vind de lobby van de industrie maar niks natuurlijk, die willen rommel produceren die "weinig verbruikt" en die je na 5-7 jaar op de afvalberg kan gooien, ik persoonlijk vind dat niet zo goed voor het milieu als bijvoorbeeld een koelkast die 20watt meer verbruikt maar wel 20 jaar meegaat !!!!!!!
In theorie heb je gelijk m.b.t de kilometerheffing, maar de overheid exact inzicht geven in waar en wanneer je auto rijd gaat hem niet worden voor heel veel mensen. Naast de privacy bezwaren is het ook technisch lastig te implementeren in oudere auto's. (Ja OBD2 etc, maar ook fraude moet voorkomen worden)

[Reactie gewijzigd door Navi op 9 augustus 2024 13:13]

Hier moet men elk jaar naar de autocontrole (toch met oudere auto's) en het kastje uitlezen op die moment zou perfect gaan, je kan dan ook enkel doen uitlezen x aantal killometer in stad, x aantal km autostrade, x aantal killometer spits, .... en de effectieve locatie waar de auto was ofwel niet registreren (dan wordt het wel lastig als je niet akkoord bent met de geregistreerde killometers) of wel alles registreren maar enkel uitleesbaar maken na gerechtelijk bevel. (ik ben trouwens redelijk zeker dat dit nu in de nieuwe auto's ook allemaal gewoon uitgelezen kan worden (je gps alleen al houd de gereden route's bij) en zou met niet verbazen dat dit zelfs rechtstreeks naar de fabrikanten gaat, ze kunnen nota bene vanop afstand je zetelverwarming aanzetten rofl :)

met een los kastje kan dit perfect gezet worden in oude auto's, en dit zou eens een kans zijn om het METEEN in minstens HEEL europa te doen, maarja, als je nu al ziet hoe sommige vrachtwagens wel 9 verschillende kastjes aan hun voorruit hangen hebben om in alle landen de killometer heffing te registreren zal er van "echt" samenwerken zoals gewoonlijk in europa weer niets van in huis komen !!
Ik snap het idee van een kastje, maar hoe voorkom je fraude, als in, rijden terwijl het kastje uit staat of niet verbonden is met de auto?

Wegencategorieën zoals binnen bebouwde kom, buiten, snelweg, spits, etc is een goede manier i.p.v. de exacte locatie vast te leggen.
fraude ga je altijd hebben (of poging tot) daarom dat ik zo iets heel graag zou zien als een wereldwijde standaard met een opensource luik, dan krijgen we hopelijk veel betere producten dan wat we gewoonlijk krijgen als het weer per land mag gemaakt worden door de firma die "vriendje van" is.
Geef eens voorbeelden waarbij openbare tenders zijn gewonnen door vriendjes van (van wie eigenlijk?)?
wauw, gewoon gezond verstand zegt het al , maar als je persé harde voorbeelden wilt ;

https://nl.wikipedia.org/wiki/Lijst_van_Belgische_schandalen
https://nl.wikipedia.org/wiki/Samusocial-affaire (deze vind ik super erg, met geld voor daklozen jezelf en je vriendjes even sociale woningen toekennen !!!!)
https://nl.wikipedia.org/wiki/Zaak-El_Kaouakibi Dit is ook een toffe, die zit dus voor moment nog altijd thuis met 100% !!!! van haar loon , zogezegd ziek, dat moet je als gewone werknemer eens proberen !!!!!
https://radio2.be/lees/mi...an-voltooid-verleden-tijd die milieuboxen hier waren ook gegarandeerd door de BESTE firma gemaakt !!!
https://www.vrt.be/vrtnws/nl/2023/08/04/siegfried-bracke-verzoekschrift-pensioen-raad-van-state/ de arme meneer Bracke die toch wel er voor gaat zorgen dat er een paar wetjes aangepast gaan worden zodat hij toch beetje meer pensioen kan trekken. (dit bericht van Bracke dat hij speciale wet gebruikt om MEER dan de maximum 8000+ euro pensioen te kunnen trekken kwam op exact dezelfde moment dat ik bericht kreeg dat ik de 1500,- euro coronasteun moest terugbetalen (die ik kreeg omdat ik als zelfstandige verplicht mijn winkel moest sluiten) en de reden van terugbetalen was dat ik opgegeven had dat ik 2 kinderen heb (die heb ik ook) maar blijkbaar staan die kinderen NIET op mijn zorgverzekering geregistreerd (maar op die van mijn vrouw) en dan telt het niet !!!!!!!!! (wij zijn gewoon getrouwd, nooit gescheiden of zo, op belastingsbrief heb ik 2 kinderen te laste ....) maar omdat ze de wet aanpassen (want tja ze moeten ergens al hun kosten kunnen recupereren) zou ik moeten terug betalen !!!! zit dus voor moment vast in de rechtbank omdat het "on hold" staat omdat er nog zo een zaken bij het hoge gerechtshof zitten !!!!!! over fucking geldverspilling gesproken !!!!!

Ik kan nog zeer zeer zeer lang blijven doorgaan met lijstjes hier hoor :)

Probleem is dat het meestal dan via via weer onder de mat geschoven wordt, of er worden snel nieuwe wetten gestemd dat het weer allemaal in orde is,

Ook zaken zoals bedrijven die de eco en maaltijdcheque's kunnen maken, dat systeem is ook gewoon uitgevonden zodat er firmatjes uit de grond konden gestampt worden om eens goed langs alle kanten te cachen (vooral op de kap van de handelaars in dit geval)

Of het feit dat je tegenwoordig als je voor brommer klasse B VERPLICHT MOET praktijk lessen volgen bij een erkende rijschool aan 480 euro !!!!! (en dus voor moment moet dat nog NIET verplicht voor rijbewijs met een wagen !!!!!!) ik kan U garanderen (en dit is natuurlijk een buik gevoel) dat hier toch wat mooie dineetjes over gebeurt zijn tussen de politiek en de vereniging van rijscholen, zie anders niet echt de logica hier in behalve om gewoon eens even te cashen , zeker als als je dan weet dat de helft van die lessen gebeurt terwijl mijn zonen eigenlijk school hebben en dat dit dan "geen probleem is hoor, hij moet maar gewoon het bewijsje van ons hebben dat hij lessen heeft gevolgd, want tja, als je met een fiets kan rijden is het goed hoor !!!"

[Reactie gewijzigd door Hansie9999 op 10 augustus 2024 10:34]

Mogen ze die laders nu houden? Dat was toch het idee van Pwn2Own?
Bor Coördinator Frontpage Admins / FP Powermod @CAPSLOCK20009 augustus 2024 18:13
Eerste hit in Google: Winnaars mogen het device houden en krijgen een cash prijs. Dat is het concept van Pwn2Own:
Winners of the contest receive the device that they exploited and a cash prize
Bluetooth is in het algemeen best slecht beveiligd. Nog slechter dan wifi. Zullen nog veel bugs mee gevonden worden denk ik.
Ik heb inmiddels 4 jaar lang een laadbox aan de gevel hangen en ik zou echt niet weten waarom ik, op wat voor manier dan ook, met dat ding zou willen communiceren.
Gewoon inpluggen in de auto en laden. Punt.

Wil ik eens wat bijzonders, bijvoorbeeld laadtimers of laaddoel instellen? Dan regel ik dat via de laadinstellingen van de auto; ofwel via de Audi app ofwel in de auto zelf.

Niks Bluetooth of wifi op de laadbox. Dat zijn alleen maar extra mogelijke storingsbronnen op een apparaat dat in de basis heel eenvoudig kan zijn.
Niet te moeilijk doen.

Op dit item kan niet meer gereageerd worden.