Раздел Технологии выходит при поддержке Favbet Tech
Инженеры (SwRI) Southwest Research Institute обнаружили уязвимость в станциях быстрой зарядки постоянного тока, которая позволяет хакерам получить доступ к электромобилю и изменять его прошивку.
Проблема заключается в технологии PLC (Power line communication). Это способ передачи данных через существующие кабели питания, например электрические розетки. Он работает путем передачи гармонического сигнала в линию электропередачи, а затем приемники на другом конце интерпретируют и экстраполируют данные в этой гармонике. Таким образом можно отправлять и получать передачи, такие как голос, видео и даже ежедневный интернет-трафик, прямо через электрическую проводку. Эта технология существует с 1922 года.
Сегодня по всему миру ездят десятки (если не сотни) миллионов электромобилей. Около 59% владельцев электромобилей еженедельно используют общественные зарядные устройства. В США есть около 10 тыс. пунктов быстрой зарядки постоянным током (DCFC) Level 3. Это 10 тыс. потенциальных мест хакерских атак и миллионы потенциальных уязвимостей только в США.
Зарядные станции Level 3 DC, которые являются самым быстрым средством пополнения заряда электромобиля, используют PLC на основе протокола IPv6 для связи с автомобилем, чтобы отслеживать неисправности и собирать данные — от состояния заряда до идентификационного номера (VIN) авто.
Благодаря использованию уязвимости на уровне PLC злоумышленники могут получить доступ к сетевому ключу и цифровым адресам как зарядных устройств, так и автомобиля с помощью атаки AitM (adversary-in-the-middle), которая могла эмулировать как электромобиль, так и зарядное оборудование.
«Во время нашего тестирования на проникновение мы обнаружили, что уровень PLC плохо защищен и не имеет шифрования между транспортным средством и зарядными устройствами», — говорят в SwRI.
В 2020 году исследователи SwRI смогли взломать систему зарядного устройства J1772 — самого распространенного типа зарядного устройства в США — чтобы нарушить процесс зарядки, имитируя злонамеренную атаку. Они могли отправлять сигналы в автомобиль, чтобы имитировать перезарядку, регулировать скорость зарядки или просто полностью блокировать зарядку.
Онлайн-курс "Ефективні презентації в PowerPoint" від Laba. Навчіться доносити ідеї через актуальні візуалізації.Курс зі створення презентацій, які додивлятися до кінця.Будь то sales offer, чи pitch deck. Дізнатись більше
Атаки на зарядные станции Level 3 DC дают потенциальным хакерам возможность внедрять код в микропрограмму автомобиля, изменяя его функции или полностью выключая их. Возможно, это даже позволяет реализовать удаленный доступ и контроль через мобильную связь транспортного средства с интернетом.
В 2015 году уже произошел взлом Jeep, когда пара хакеров из Миссури взяла под контроль немодифицированный Jeep Cherokee. Хакеры зашли так далеко, что выключили двигатель, взяли под контроль рулевое управление и заставили автомобиль съехать с автострады, прежде чем выключить тормоза. И все это происходило вместе с мониторингом положения автомобиля через GPS. Получить такой полный контроль удалось дистанционно, только с помощью информационно-развлекательной системы.
«Благодаря доступу к сети, предоставленному незащищенными ключами прямого доступа, можно было легко получить доступ к энергонезависимой области памяти на устройствах с поддержкой PLC и перепрограммировать их. Это открывает двери для деструктивных атак, таких как повреждение микропрограммы», — говорят в SwRI.
Изменение прошивки электромобиля злоумышленником может иметь серьезные последствия, поскольку это дает почти безграничные возможности благодаря тому, что современные электромобили сильно зависят от программного обеспечения и подключения к интернету. По сути, это центры обработки данных на колесах. Например, головным мозгом новейшего электромобиля Tesla Model S является процессор AMD Ryzen и графический процессор AMD Radeon. Это те же компоненты, которые можно встретить в настольном компьютере дома или на работе. Автомобиль также имеет около 63 других процессоров.
Простое добавление шифрования к встроенным системам электромобилей также может представлять потенциальную опасность. Любая ошибка расшифровки или аутентификации части данных может вызвать сбой в системах электромобиля. Представьте, что вы пытаетесь затормозить, но ваш автомобиль решает этого не делать, поскольку ему не удалось получить аутентифицированный сигнал от вашей педали через модуль ABS.
Чтобы исправить ситуацию, в SwRI разработали новую архитектуру «нулевого доверия», которая может обходить уровни шифрования. Нулевое доверие работает на основе предположения, что если злоумышленник захочет взломать брандмауэр, вполне вероятно, что он это сделает, и его нельзя будет остановить. Однако нулевое доверие потребовало бы от каждого актива — ноутбука, сервера или электромобиля — на корневом уровне подтвердить свою идентичность и принадлежность к сети перед выполнением команды. Сеть — это сам автомобиль.
Онлайн-курс "Ефективні презентації в PowerPoint" від Laba. Навчіться доносити ідеї через актуальні візуалізації.Курс зі створення презентацій, які додивлятися до кінця.Будь то sales offer, чи pitch deck. Дізнатись більше
Каждая часть архитектуры не только должна аутентифицироваться во время каждой загрузки, но и система нулевого доверия отслеживает точность системы и обнаруживает аномалии и незаконные пакеты связи в режиме реального времени, если злоумышленник получает доступ к системам автомобиля. Это может стать решением на будущее.
Источник: newatlas
Раздел Технологии выходит при поддержке Favbet Tech
Favbet Tech – это IT-компания со 100% украинской ДНК, которая создает совершенные сервисы для iGaming и Betting с использованием передовых технологий и предоставляет доступ к ним. Favbet Tech разрабатывает инновационное программное обеспечение через сложную многокомпонентную платформу, способную выдерживать огромные нагрузки и создавать уникальный опыт для игроков.
