Nederlandse hackers ontdekken fouten in Amserikaanse laadpalen

30-1-24. Nederlandse hackers vinden meerdere kwetsbaarheden in laadpalen tijdens internationale hackwedstrijd in Japan.
Hackers-Japan-podium.jpg

Drie Nederlandse ethische hackers van Computest Security, Daan Keuper, Thijs Alkemade en Khaled Nassar, hebben verschillende kwetsbaarheden gevonden in drie laadpalen van Amerikaanse makelij. De bevindingen van de hackers werden gepresenteerd tijdens de prestigieuze hackwedstrijd Pwn2Own Automotive, onderdeel van de Automotive World conferentie in Tokio. Zij toonden aan dat de palen van diverse leveranciers relatief eenvoudig via Bluetooth kunnen worden overgenomen zonder dat men beschikking hoeft hebben over gegevens van de gebruiker. Met de vondst van de kwetsbaarheden wist het team hackers een bedrag van 67.500 USD in de wacht te slepen.   

“De relatieve eenvoud waarmee we toegang konden krijgen tot de laadpalen laat zien dat security geen factor is geweest bij het ontwerp van de palen”, stelt Daan Keuper, Head of Security Research bij Computest Security. “Het zijn voor de hand liggende kwetsbaarheden die een fabrikant ook had kunnen ontdekken met het uitvoeren van een security-test. Het feit dat dit is verzuimd laat zien dat apparaten die online verbonden zijn zoals laadpalen, achterlopen op het gebied van security en hier nog veel winst te behalen valt.”  

De hackwedstrijd, die werd georganiseerd tijdens de Automotive World conferentie in Tokio, is met name gericht op producten en platformen die gerelateerd zijn aan elektrische auto’s. Naast laadpalen maken bijvoorbeeld ook infotainmentsystemen en besturingssytemen onderdeel uit van de competitie. Doordat het elektrische wagenpark snel groeit en auto’s steeds meer connected zijn, nemen ook de mogelijkheden om onderdelen te hacken toe. Zo kunnen mobiele apps, Bluetooth-verbindingen en het Open Charge Point Protocol ervoor zorgen dat kwaadwillenden schade kunnen toebrengen aan de auto’s. Verder kan toegang tot de laadpaal een manier zijn om ook binnen te komen bij andere IoT-toepassingen die in en om woningen worden gebruikt.  

Hackers-Japan-24-team_Computer_Security.jpg

Laadpalen met kwetsbaarheden 
Voor de wedstrijd onderzocht het team van Computest Security in het eigen security lab Sector 7, vier laadpalen voor thuisgebruik. Deze kunnen gebruikt worden op netwerken van 110 volt. In drie van de laadpalen, de ChargePoint Home Flex, de Autel MaxiCharger en de Juicebox 40, werden kwetsbaarheden gevonden. Het eerste merk heeft overigens al meer dan 200 miljoen laadpalen verkocht. Elk van de laadpalen was toegankelijk via dezelfde soort kwetsbaarheid waardoor hackers de controle over het systeem kunnen overnemen en het bijvoorbeeld kunnen in- of uitschakelen. 

De vierde laadpaal waarbij geen kwetsbaarheid is geconstateerd, maakte voor de connectiviteit van de paal en de bijbehorende app, gebruik van het Amazon IoT cloud-platform. Dit zorgt ervoor dat de basisfuncties die nodig zijn voor de IoT-apparatuur door Amazon worden gefaciliteerd. Security is hierbij dan al gewaarborgd. Bij de andere laadpalen wordt gebruikgemaakt van zelf ontworpen systemen waar security duidelijk niet standaard wordt meegenomen.    

Automotive industrie heeft nog te weinig aandacht voor security 
Het team van Computest Security hackte eerder al het infotainmentsysteem dat wordt gebruikt in verschillende modellen van de Volkswagen Auto Groep. Hierbij werd ontdekt dat remote toegang tot een van systemen van de auto mogelijk was. De hack van de laadpalen staat volgens Keuper dan ook niet op zichzelf, maar is illustratief voor de geringe mate waarin er binnen de automotive industrie aandacht is voor security.   

“In Nederland zien we periodiek berichten over onveiligheid van laadinfrastructuur, het klonen van laadpassen is ook al jaren een bekend probleem dat nog steeds niet is opgelost. Je ziet wel dat er door samenwerkingsverbanden als de NAL (Nationale Agenda Laadinfrastructuur) meer aandacht komt voor security en dat eLaad zelfs richtlijnen heeft opgesteld voor de security van laadpalen. Als deze echter niet worden geadopteerd dan hebben deze weinig nut.”  

Afdwingen naleving NIS2 en Cyber Resilience Act  
Keuper pleit dan ook voor standaardisatie van systemen en het afdwingen van de naleving van security-richtlijnen zoals de Europese Cyber Resilience Act en NIS2. Bij de laatste is expliciet beschreven dat leveranciers van publieke laadpalen moeten voldoen aan deze regelgeving. “We moeten daarbij wel voorkomen dat security alleen een compliance issue wordt aangezien organisaties hierdoor vaak minder open zijn en men minder van elkaar kan leren. Het waarborgen van security zou een kwestie van intrinsieke motivatie moeten zijn.”  

Over Computest Security   
Computest Security is het meest flexibele, mensgerichte, technologiegedreven IT security-bedrijf van Nederland. Ons doel is om de weerbaarheid van klanten op de lange termijn te vergroten en hen te helpen security-bedreigingen te overwinnen. Zo wil Computest Security een bijdrage leveren aan de veiligheid van de Europese samenlevingen waarin haar klanten actief zijn. Dankzij de sterke achtergrond op het gebied van code-, applicatie- en cloud-beveiliging, kunnen de security-specialisten van Computests klanten ondersteunen in de volledige cyclus: zij helpen bij het voorkomen, detecteren en reageren op hedendaagse security-bedreigingen, vanuit een technisch, procesmatig en organisatorisch perspectief. Meer informatie: https://www.computest.nl/nl/