Уязвимости зарядной инфраструктуры для электромобилей связали с рисками кибератак

Сервисы аренды оборудования и зарядные сети, работающие на основе интернета вещей, могут быть подвержены киберугрозам из-за особенностей своей архитектуры. К таким выводам пришёл китайский исследователь Хэтянь Ши, изучивший принципы защиты подобных систем.

По его данным, в ряде решений приоритет отдается удобству использования, что снижает уровень безопасности. Среди выявленных проблем — наличие технических интерфейсов на оборудовании, которые могут быть использованы для поиска уязвимостей, а также применение единых ключей аутентификации в прошивках устройств и серверной части. Дополнительным фактором риска названа недостаточная защита мобильных приложений.

Отдельно отмечается возможность обхода механизмов проверки в пользовательских приложениях. Это, по оценке исследователя, позволяет создавать фиктивные учетные записи, которые визуально не отличаются от реальных и потенциально дают доступ к услугам без оплаты. Также подобные схемы могут использоваться для получения доступа к серверной инфраструктуре и обработке пользовательских данных.

В качестве подтверждения Ши представил инструмент IDScope и продемонстрировал его работу на примере приложения одной из китайских сетей зарядных станций для электромобилей. В ходе теста он использовал идентификатор конкретной станции, после чего система изменила её статус на недоступный.

Исследователь также указывает на потенциальную возможность масштабных атак, включая перегрузку инфраструктуры сервисов. Проверка ряда европейских приложений показала схожие уязвимости, что, по его оценке, указывает на системный характер проблемы в отрасли.