Nederlandse hackers vinden meerdere kwetsbaarheden in laadpalen

Drie Nederlandse ethische hackers van Computest Security, Daan Keuper, Thijs Alkemade en Khaled Nassar, hebben verschillende kwetsbaarheden gevonden in drie laadpalen van Amerikaanse makelij. Wat blijkt? De laadpalen zijn eenvoudig over te nemen via Bluetooth-verbinding.

V.l.n.r. Daan Keuper, Khaled Nassar, Thijs Alkemade

 

De bevindingen van de hackers werden gepresenteerd tijdens de hackwedstrijd Pwn2Own Automotive, onderdeel van de Automotive World conferentie in Tokio. Zij toonden aan dat de palen van diverse leveranciers relatief eenvoudig via Bluetooth kunnen worden overgenomen zonder dat men beschikking hoeft te hebben over gegevens van de gebruiker. Met de vondst van de kwetsbaarheden wist het team van hackers een bedrag van 67.500 USD in de wacht te slepen.

“De relatieve eenvoud waarmee we toegang konden krijgen tot de laadpalen laat zien dat security geen factor is geweest bij het ontwerp van de palen”, stelt Daan Keuper, Head of Security Research bij Computest Security. “Het zijn voor de hand liggende kwetsbaarheden die een fabrikant zelf had kunnen ontdekken door het uitvoeren van een security-test. Het feit dat dit is verzuimd laat zien dat er bij apparaten die online verbonden zijn, zoals laadpalen, nog veel winst te behalen valt op het gebied van security.”
 

De hackwedstrijd is met name gericht op producten en platformen die gerelateerd zijn aan elektrische auto’s. Doordat het elektrische wagenpark snel groeit en auto’s steeds meer connected zijn, nemen ook de mogelijkheden om onderdelen te hacken toe. Zo kunnen mobiele apps, Bluetooth-verbindingen en het Open Charge Point Protocol ervoor zorgen dat kwaadwillenden schade kunnen toebrengen aan de auto’s. Verder kan toegang tot de laadpaal een manier zijn om ook binnen te komen bij andere IoT-toepassingen die in en om woningen worden gebruikt.

Laadpalen met kwetsbaarheden
Voor de wedstrijd onderzocht het team van Computest Security in het eigen security lab Sector 7, vier laadpalen voor thuisgebruik. In drie van de laadpalen, de ChargePoint Home Flex, de Autel MaxiCharger en de Juicebox 40, werden kwetsbaarheden gevonden. Het eerste merk heeft overigens al meer dan 200 miljoen laadpalen verkocht. Elk van de laadpalen was toegankelijk via dezelfde soort kwetsbaarheid, waardoor hackers de controle over het systeem kunnen overnemen en het bijvoorbeeld kunnen in- of uitschakelen.

De vierde laadpaal waarbij geen kwetsbaarheid is geconstateerd, maakte voor de connectiviteit van de paal en de bijbehorende app gebruik van het Amazon IoT cloud-platform. Dit zorgt ervoor dat de basisfuncties die nodig zijn voor de IoT-apparatuur door Amazon worden gefaciliteerd, security is hierbij dan al gewaarborgd. Bij de andere laadpalen wordt gebruikgemaakt van zelf ontworpen systemen waarin security duidelijk niet standaard wordt meegenomen.

Automotive industrie heeft nog te weinig aandacht voor security
Het team van Computest Security hackte eerder al het infotainmentsysteem dat wordt gebruikt in verschillende modellen van de Volkswagen Auto Groep. Hierbij werd ontdekt dat remote toegang tot een van de systemen van de auto mogelijk was. De hack van de laadpalen staat volgens Keuper dan ook niet op zichzelf, maar is illustratief voor de geringe mate waarin er binnen de automotive industrie aandacht is voor security. “In Nederland zien we periodiek berichten over onveiligheid van laadinfrastructuur, het klonen van laadpassen is ook al jaren een bekend probleem dat nog steeds niet is opgelost. Je ziet wel dat er door samenwerkingsverbanden zoals de NAL (Nationale Agenda Laadinfrastructuur) meer aandacht komt voor security en dat eLaad zelfs richtlijnen heeft opgesteld voor de security van laadpalen. Als deze echter niet worden geadopteerd dan hebben deze weinig nut.”
 

Afdwingen naleving NIS2 en Cyber Resilience Act
Keuper pleit voor standaardisatie van systemen en het afdwingen van de naleving van security-richtlijnen, zoals de Europese Cyber Resilience Act en NIS2. Bij de laatste is expliciet beschreven dat leveranciers van publieke laadpalen moeten voldoen aan deze regelgeving. “We moeten daarbij wel voorkomen dat security alleen een compliance issue wordt, aangezien organisaties hierdoor vaak minder open zijn en men minder van elkaar kan leren. Het waarborgen van security zou een kwestie van intrinsieke motivatie moeten zijn.”