ايتنا - آسیب‌پذیری‌های خطرناک در اتومبیل‌های الکترونیکی

در طی 5 سال گذشته اتومبیل های الکتریکی جهش چشمگیری داشته است، شاید آنها از لحاظ ظاهری فرق چندانی با اتومبیل‌های سوختی نداشته باشند اما از لحاظ سیستم و عمکرد کاملا متفاوت هستند. با کاهش قیمت اتومبیل‌های الکتریکی رشد خرید و فروش این ماشین‌ها و البته افزایش تعداد آنها پیش‌بینی می‌شود. زیرساخت‌های ماشین‌های الکتریکی در حال توسعه هستند و بنابراین تا کمی بعد شاهد جایگاه‌های متعدد شارژ برای اتومبیل‌ها خواهیم بود.

به گزارش ایتنا از کسپرسکی آنلاین، ما بارها در مقالات خود گفته‌ایم که هر ماشینی که به سمت هوشمند شدن پیش برود و تجهیزات آن حرفه‌ای شود زمینه بوجود آمدن آسیب‌پذیری در آن به مراتب بیشتر می شود. شاید در این مورد یک شارژر الکتریکی به شما آسیبی نرساند اما مجرمان سایبری چطور؟ پیاده سازی مفاهیم، پرداخت و شارژ چطور؟ آیا احتمال سرقت اطلاعات شخصی و پول‌های شما در این مورد هم وجود دارد؟ Mathias Dalheimer در سی و چهارمین کنگره ارتباطات در مورد آسیب پذیری زیرساخت‌های الکتریکی این موضوع را مطرح ساخت.

اتومبیل‌های شارژی چگونه کار می کنند؟
بدیهی است با رشد اتومبیل های الکترونیکی جایگاه شارژ کردن آن ها نیز افزایش بیابد، این در حالی است که مسئولین ارائه دهنده به جای بنزین و گاز سوختی، انرژی را ارائه و پول دریافت می‌کنند. برای این معاملات، آنها به یک سیستم بیلینگ داخلی نیاز دارند. قبل از اینکه شما بخواهید ماشین خود را شارژ کنید نیاز است که هویت خود را با استفاده از آیدی توکن خود مشخص کنید.

بیلینگ برای تبادل الکتریسته به طور معمول با استفاده از پروتکل Charge Point انجام می‌شود که قادر است ارتباط بین سیستم های مدیریتی صدور بیلینگ در یک طرف و در سویی دیگر شارژر الکترونیکی را تنظیم کند. نقطه شارژ درخواستی را برای شناسایی شما به سیستم بیلینگ ارسال می‌کند، مدیریت بیلینگ درخواست را تایید می‌کند و اجازه می‌دهد تا نقطه ی شارژ شناسایی شود، در این صورت ایستگاه به شما اجازه می‌دهد تا اتومبیل خود را شارژ کنید. پس از آن مقدار برق محاسبه می‌شود و به سیستم مدیریت بیلینگ ارسال می شود تا صورت حساب برای شما صادر گردد.

هیچ چیز عجیب و شگفت‌آوری در این مراحل وجود ندارد اینطور نیست؟ بسیار عالی، حال بیایید کمی فنی‌تر و دقیق‌تر این مراحل را بررسی کنیم.

مشکلات، مشکلات در همه جا وجود دارند
Dalheimer با بررسی اجزای مختلف سیستم متوجه شد که همه ی آن ها با موارد امنیتی مواجه هستند. این مورد آیدی توکن است. آنها توسط ارائه دهندگان اشخاص ثالث ساخته می‌شوند و این مورد کاملا تعجب آور است. اکثر آنها اطلاعات شما را به خطر می‌اندازند. آنها کارت‌های بسیار ساده NFC هستند که شناسه و یا هرچیزی که درون خود حفظ می‌کنند را امن نگاه نمی‌دارند و آن ها را رمزنگاری نمی‌کنند. البته مشکلات این کارت ها همچنان ادامه دارد. آن‌ها برنامه‌های بسیار ساده‌ای دارند که Mathias با کپی کارت خود موفق به شارژ کردن شد. انجام این کار توسط یک فرد زیرک بسیار ساده است.

از آنجایی که شارژ توسط ارائه دهندگان تنها یکبار در ماه ارائه می شود اگر حساب کاربری صاحب اتومبیل در خطر افتاده باشد، دیگر قادر نخواهد بود که به حساب خود وارد شود و این مورد شاید حاشیه‌های بسیاری در برداشته باشد.

مورد دیگری که چنین اتومیبیل‌هایی را آسیب‌پذیر می‌کند این است که در حال حاضر اکثر ایستگاه‌ها از نسخه سال 2012 OCPP استفاده می کنند به نسبت قدیمی و مبتنی بر HTTP است. (به خوبی می‌دانیم که استفاده از پروتکل رمزنگاری نشده HTTP به هیچ عنوان توصیه نمی‌شود). Mathias نشان داد که به راحتی می‌توان یک حمله مرد میانی را در این بین راه‌اندازی و سیستم را به طور کلی هک کرد.
علاوه بر این هر دو ایستگاه‌هایی که Mathias آنها را مورد بررسی قرار داد دارای پورت‌های USB بودند. زمانی که کاربر USB خود را وارد می‌کند، لوگ‌ها و داده‌های مربوط در درایو کپی می‌شوند. با استفاده از این داده‌ها، دستیابی به لوگین و رمزعبور از طریق سرور OCPP و شماره های توکن کاربران قبلی که عضو بوده اند به راحتی امکان پذیر می شود.

بدتر از آن این است که اگر داده‌های روی درایو نیز تغییر کنند سپس درایو USB به نقطه ی شارژ وارد شود، نقطه ی شارژ به طور خودکار آن را به روزرسانی می کند و داده ها را بر روی درایو با پیکربندی جدید در نظر می‌گیرد. و این آسیب‌پذیری پای هکرها را به راحتی به میان می‌کشد.

به طور خلاصه مجرمان می‌توانند: شناسه‌های کارت را جمع‌آوری کنند، از آنها کپی برداری کنند و برای معاملات خود استفاده کنند. سپس درخواست های شارژ مجدد را بررسی می کنند و از این طریق نقطه شارژ را غیر فعال می‌سازند. تمام این موارد نشان دهنده ناامن بودن فعلی اتومبیل‌های الکتریکی بود. شاید در حال حاضر این ماشین ها در ایران چندان دیده نشوند اما به زودی با پیشرفت تکنولوژی شاهد رشد آنها خواهیم بود.