اخبار فناوری اطلاعات
آسیبپذیریهای خطرناک در اتومبیلهای الکترونیکی
در طی 5 سال گذشته اتومبیل های الکتریکی جهش چشمگیری داشته است، شاید آنها از لحاظ ظاهری فرق چندانی با اتومبیلهای سوختی نداشته باشند اما از لحاظ سیستم و عمکرد کاملا متفاوت هستند. با کاهش قیمت اتومبیلهای الکتریکی رشد خرید و فروش این ماشینها و البته افزایش تعداد آنها پیشبینی میشود. زیرساختهای ماشینهای الکتریکی در حال توسعه هستند و بنابراین تا کمی بعد شاهد جایگاههای متعدد شارژ برای اتومبیلها خواهیم بود.
به گزارش ایتنا از کسپرسکی آنلاین، ما بارها در مقالات خود گفتهایم که هر ماشینی که به سمت هوشمند شدن پیش برود و تجهیزات آن حرفهای شود زمینه بوجود آمدن آسیبپذیری در آن به مراتب بیشتر می شود. شاید در این مورد یک شارژر الکتریکی به شما آسیبی نرساند اما مجرمان سایبری چطور؟ پیاده سازی مفاهیم، پرداخت و شارژ چطور؟ آیا احتمال سرقت اطلاعات شخصی و پولهای شما در این مورد هم وجود دارد؟ Mathias Dalheimer در سی و چهارمین کنگره ارتباطات در مورد آسیب پذیری زیرساختهای الکتریکی این موضوع را مطرح ساخت.
اتومبیلهای شارژی چگونه کار می کنند؟
بدیهی است با رشد اتومبیل های الکترونیکی جایگاه شارژ کردن آن ها نیز افزایش بیابد، این در حالی است که مسئولین ارائه دهنده به جای بنزین و گاز سوختی، انرژی را ارائه و پول دریافت میکنند. برای این معاملات، آنها به یک سیستم بیلینگ داخلی نیاز دارند. قبل از اینکه شما بخواهید ماشین خود را شارژ کنید نیاز است که هویت خود را با استفاده از آیدی توکن خود مشخص کنید.
بیلینگ برای تبادل الکتریسته به طور معمول با استفاده از پروتکل Charge Point انجام میشود که قادر است ارتباط بین سیستم های مدیریتی صدور بیلینگ در یک طرف و در سویی دیگر شارژر الکترونیکی را تنظیم کند. نقطه شارژ درخواستی را برای شناسایی شما به سیستم بیلینگ ارسال میکند، مدیریت بیلینگ درخواست را تایید میکند و اجازه میدهد تا نقطه ی شارژ شناسایی شود، در این صورت ایستگاه به شما اجازه میدهد تا اتومبیل خود را شارژ کنید. پس از آن مقدار برق محاسبه میشود و به سیستم مدیریت بیلینگ ارسال می شود تا صورت حساب برای شما صادر گردد.
هیچ چیز عجیب و شگفتآوری در این مراحل وجود ندارد اینطور نیست؟ بسیار عالی، حال بیایید کمی فنیتر و دقیقتر این مراحل را بررسی کنیم.
مشکلات، مشکلات در همه جا وجود دارند
Dalheimer با بررسی اجزای مختلف سیستم متوجه شد که همه ی آن ها با موارد امنیتی مواجه هستند. این مورد آیدی توکن است. آنها توسط ارائه دهندگان اشخاص ثالث ساخته میشوند و این مورد کاملا تعجب آور است. اکثر آنها اطلاعات شما را به خطر میاندازند. آنها کارتهای بسیار ساده NFC هستند که شناسه و یا هرچیزی که درون خود حفظ میکنند را امن نگاه نمیدارند و آن ها را رمزنگاری نمیکنند. البته مشکلات این کارت ها همچنان ادامه دارد. آنها برنامههای بسیار سادهای دارند که Mathias با کپی کارت خود موفق به شارژ کردن شد. انجام این کار توسط یک فرد زیرک بسیار ساده است.
از آنجایی که شارژ توسط ارائه دهندگان تنها یکبار در ماه ارائه می شود اگر حساب کاربری صاحب اتومبیل در خطر افتاده باشد، دیگر قادر نخواهد بود که به حساب خود وارد شود و این مورد شاید حاشیههای بسیاری در برداشته باشد.
مورد دیگری که چنین اتومیبیلهایی را آسیبپذیر میکند این است که در حال حاضر اکثر ایستگاهها از نسخه سال 2012 OCPP استفاده می کنند به نسبت قدیمی و مبتنی بر HTTP است. (به خوبی میدانیم که استفاده از پروتکل رمزنگاری نشده HTTP به هیچ عنوان توصیه نمیشود). Mathias نشان داد که به راحتی میتوان یک حمله مرد میانی را در این بین راهاندازی و سیستم را به طور کلی هک کرد.
علاوه بر این هر دو ایستگاههایی که Mathias آنها را مورد بررسی قرار داد دارای پورتهای USB بودند. زمانی که کاربر USB خود را وارد میکند، لوگها و دادههای مربوط در درایو کپی میشوند. با استفاده از این دادهها، دستیابی به لوگین و رمزعبور از طریق سرور OCPP و شماره های توکن کاربران قبلی که عضو بوده اند به راحتی امکان پذیر می شود.
بدتر از آن این است که اگر دادههای روی درایو نیز تغییر کنند سپس درایو USB به نقطه ی شارژ وارد شود، نقطه ی شارژ به طور خودکار آن را به روزرسانی می کند و داده ها را بر روی درایو با پیکربندی جدید در نظر میگیرد. و این آسیبپذیری پای هکرها را به راحتی به میان میکشد.
به طور خلاصه مجرمان میتوانند: شناسههای کارت را جمعآوری کنند، از آنها کپی برداری کنند و برای معاملات خود استفاده کنند. سپس درخواست های شارژ مجدد را بررسی می کنند و از این طریق نقطه شارژ را غیر فعال میسازند. تمام این موارد نشان دهنده ناامن بودن فعلی اتومبیلهای الکتریکی بود. شاید در حال حاضر این ماشین ها در ایران چندان دیده نشوند اما به زودی با پیشرفت تکنولوژی شاهد رشد آنها خواهیم بود.
منبع : ایتنا