Kelemahan keamanan ditemukan di pengisi daya EV populer – TechCrunch

0
18


Perusahaan keamanan siber Inggris Pen Test Partners telah mengidentifikasi beberapa kerentanan dalam API enam merek pengisian kendaraan listrik rumah dan jaringan pengisian EV publik yang besar. Sementara produsen pengisi daya menyelesaikan sebagian besar masalah, temuan ini adalah contoh terbaru dari dunia perangkat Internet of Things yang diatur dengan buruk, yang siap menjadi segalanya kecuali di mana-mana di rumah dan kendaraan kita.

Kerentanan diidentifikasi dalam API dari enam merek pengisian EV yang berbeda — Project EV, Wallbox, EVBox, EO Hub dan EO mini pro 2 dari EO Charging, Rolec dan Hypervolt — dan jaringan pengisian daya publik Chargepoint. Peneliti keamanan Vangelis Stykas mengidentifikasi beberapa kelemahan keamanan di antara berbagai merek yang memungkinkan peretas jahat membajak akun pengguna, menghambat pengisian daya, dan bahkan mengubah salah satu pengisi daya menjadi “pintu belakang” ke jaringan rumah pemilik.

Konsekuensi dari peretasan ke jaringan stasiun pengisian umum dapat mencakup pencurian listrik dengan mengorbankan akun pengemudi dan menyalakan atau mematikan pengisi daya.

Sebuah Raspberry Pi di pengisi daya Wallbox. Kredit Gambar: Mitra Uji Pena (terbuka di jendela baru

Beberapa pengisi daya EV menggunakan modul komputasi Raspberry Pi, komputer murah yang sering digunakan oleh penghobi dan pemrogram.

“Pi adalah platform komputasi hobi dan pendidikan yang hebat, tetapi menurut kami itu tidak cocok untuk aplikasi komersial karena tidak memiliki apa yang dikenal sebagai ‘bootloader aman,’” pendiri Pen Test Partners Ken Munro mengatakan kepada TechCrunch. “Ini berarti siapa pun yang memiliki akses fisik ke bagian luar rumah Anda (karenanya ke pengisi daya Anda) dapat membukanya dan mencuri kredensial Wi-Fi Anda. Ya, risikonya rendah, tetapi menurut saya vendor pengisi daya tidak harus membuat kita menghadapi risiko tambahan.”

Peretasan itu “sangat sederhana,” kata Munro. “Aku bisa mengajarimu melakukan ini dalam lima menit,” tambahnya.

laporan perusahaan, diterbitkan akhir pekan lalu, menyentuh kerentanan yang terkait dengan protokol yang muncul seperti Antarmuka Titik Pengisian Terbuka, yang dikelola dan dikelola oleh EVRoaming Foundation. Protokol ini dirancang untuk membuat pengisian daya menjadi mulus antara jaringan dan operator pengisian daya yang berbeda.

Munro menyamakannya dengan roaming di ponsel, memungkinkan pengemudi untuk menggunakan jaringan di luar jaringan pengisian biasa mereka. OCPI tidak banyak digunakan saat ini, jadi kerentanan ini dapat dirancang di luar protokol. Tetapi jika dibiarkan tidak tertangani, itu bisa berarti “kerentanan di satu platform berpotensi menciptakan kerentanan di platform lain,” jelas Stykas.

Peretasan ke stasiun pengisian telah menjadi ancaman yang sangat jahat karena sebagian besar transportasi menjadi listrik dan lebih banyak daya mengalir melalui jaringan listrik. Jaringan listrik tidak dirancang untuk perubahan besar dalam konsumsi daya — tetapi itulah yang dapat terjadi, jika ada peretasan besar yang mengaktifkan atau menonaktifkan pengisi daya cepat DC dalam jumlah yang cukup.

“Tidak perlu banyak untuk membuat jaringan listrik kelebihan beban,” kata Munro. “Kami secara tidak sengaja membuat senjata siber yang bisa digunakan orang lain untuk melawan kami.”

Keamanan siber “Barat Liar”

Sementara efek pada jaringan listrik unik untuk pengisi daya EV, masalah keamanan siber tidak. Peretasan rutin mengungkapkan lebih banyak masalah endemik di perangkat IoT, di mana menjadi yang pertama ke pasar sering lebih diutamakan daripada keamanan yang baik — dan di mana regulator hampir tidak dapat mengejar kecepatan inovasi.

“Benar-benar tidak banyak penegakan,” Justin Brookman, direktur privasi konsumen dan kebijakan teknologi untuk Consumer Reports, mengatakan kepada TechCrunch dalam sebuah wawancara baru-baru ini. Penegakan keamanan data di Amerika Serikat berada dalam lingkup Komisi Perdagangan Federal. Tapi sementara ada undang-undang perlindungan konsumen tujuan umum di buku, “mungkin ilegal untuk membangun sistem yang memiliki keamanan yang buruk, itu hanya apakah Anda akan mendapatkan penegakan hukum atau tidak,” kata Brookman.

RUU federal yang terpisah, Internet of Things Cybersecurity Improvement Act, disahkan September lalu tetapi hanya berlaku secara luas untuk pemerintah federal.

Hanya ada sedikit lebih banyak gerakan di tingkat negara bagian. Pada tahun 2018, California meloloskan RUU melarang kata sandi default dalam elektronik konsumen baru mulai tahun 2020 — kemajuan yang berguna untuk memastikan, tetapi yang sebagian besar menempatkan beban keamanan data di tangan konsumen. California, serta negara bagian seperti Colorado dan Virginia, juga telah mengesahkan undang-undang yang mewajibkan langkah-langkah keamanan yang wajar untuk perangkat IoT.

Hukum seperti itu adalah awal yang baik. Tapi (baik atau buruk) FTC tidak seperti Food and Drug Administration AS, yang mengaudit produk konsumen sebelum mereka memasuki pasar. Sampai sekarang, tidak ada pemeriksaan keamanan pada perangkat teknologi sebelum mereka menjangkau konsumen. Di Inggris Raya, “Ini juga Wild West di sini, sekarang,” kata Munro.

Beberapa startup telah muncul yang mencoba mengatasi masalah ini. Satu adalah Teknologi Thistle, yang mencoba membantu produsen perangkat IoT mengintegrasikan mekanisme ke dalam perangkat lunak mereka untuk menerima pembaruan keamanan. Tapi sepertinya masalah ini tidak akan sepenuhnya diselesaikan di belakang industri swasta saja.

Karena pengisi daya EV dapat menimbulkan ancaman unik bagi jaringan listrik, ada kemungkinan pengisi daya EV dapat termasuk dalam cakupan tagihan infrastruktur kritis. Pekan lalu, Presiden Joe Biden merilis sebuah memorandum menyerukan keamanan siber yang lebih besar untuk sistem yang terkait dengan infrastruktur penting. “Degradasi, penghancuran, atau malfungsi sistem yang mengendalikan infrastruktur ini dapat menyebabkan kerusakan signifikan pada keamanan nasional dan ekonomi Amerika Serikat,” kata Biden. Apakah ini akan mengalir ke produk konsumen adalah pertanyaan lain.



Sumber

LEAVE A REPLY

Please enter your comment!
Please enter your name here