Krediet: Pixabay/CC0 publiek domein
Naarmate het aantal elektrische auto’s op de weg groeit, neemt ook de behoefte aan hun oplaadstations voor elektrische voertuigen (EV) en de op internet gebaseerde beheersystemen binnen die stations toe. Deze beheersystemen hebben echter te maken met hun eigen problemen: cybersecurity-aanvallen.
Elias Bou-Harb, directeur van het UTSA Cyber ​​Center for Security and Analytics, en zijn collega’s – Claud Fachkha van de Universiteit van Dubai en Tony Nasr, Sadegh Torabi en Chadi Assim van Concordia University in Montreal – werpen licht op de kwetsbaarheden van deze cybersystemen. De onderzoekers bevelen ook maatregelen aan die hen zouden beschermen tegen schade.
De systemen die in elektrische auto’s zijn ingebouwd, voeren cruciale taken uit via internet, waaronder monitoring op afstand en facturering aan klanten, evenals een groeiend aantal op internet gebaseerde EV-laadstations.
Bou-Harb en zijn collega-onderzoekers wilden de real-life implicaties van cyberaanvallen op EV-laadsystemen onderzoeken en hoe cybersecurity-tegenmaatregelen kunnen worden gebruikt om deze te verminderen. Zijn team beoordeelde ook hoe misbruikte systemen kritieke infrastructuur zoals het elektriciteitsnet kunnen aanvallen.
“Elektrische voertuigen zijn tegenwoordig de norm. Hun beheerstations zijn echter vatbaar voor beveiligingsuitbuiting”, zegt Bou-Harb, universitair hoofddocent aan de afdeling Informatiesystemen en Cyberbeveiliging van het Carlos Alvarez College of Business. “Bij dit werk hebben we geprobeerd hun gerelateerde beveiligingszwakheden bloot te leggen en hun gevolgen voor elektrische voertuigen en het slimme netwerk te begrijpen, terwijl we aanbevelingen deden en onze bevindingen deelden met de relevante industrie voor proactieve beveiligingssanering.”
Het team identificeerde 16 beheersystemen voor het opladen van elektrische voertuigen, die ze in verschillende categorieën verdeelden, zoals firmware, mobiele apps en web-apps. Ze voerden op elk een diepgaande beveiligingsanalyse uit.
“We hebben een systeemopzoek- en verzamelaanpak ontwikkeld om een ​​groot aantal oplaadsystemen voor elektrische voertuigen te identificeren, en vervolgens gebruik gemaakt van reverse engineering en white-/black-box penetratietesttechnieken voor webapplicaties om een ​​grondige kwetsbaarheidsanalyse uit te voeren”, aldus Bou-Harb.
Het team ontdekte een reeks kwetsbaarheden in de 16 systemen en bracht de 13 ernstigste kwetsbaarheden naar voren, zoals ontbrekende authenticatie en cross-site scripting. Door deze kwetsbaarheden te misbruiken, kunnen aanvallers verschillende problemen veroorzaken, waaronder het manipuleren van de firmware of het zich vermommen als echte gebruikers en toegang krijgen tot gebruikersgegevens.
Volgens een recent witboek van de onderzoekers: “Hoewel het mogelijk is om verschillende aanvallen uit te voeren op verschillende entiteiten binnen het ecosysteem van elektrische voertuigen, richten we ons in dit werk op het onderzoeken van grootschalige aanvallen die ernstige gevolgen hebben voor het gecompromitteerde laadstation, de gebruiker en het aangesloten elektriciteitsnet.”
Tijdens dit project heeft het team verschillende beveiligingsmaatregelen, richtlijnen en best practices ontwikkeld voor ontwikkelaars om cyberaanvallen te verminderen. Ze hebben ook tegenmaatregelen genomen om elke individuele kwetsbaarheid die ze hebben gevonden te patchen.
Om een ​​massale aanval op het elektriciteitsnet te voorkomen, raden de onderzoekers de ontwikkelaars aan om bestaande kwetsbaarheden te patchen, maar ook om initiële veiligheidsmaatregelen te nemen tijdens de productie van de laadstations.
“Veel leden van de industrie hebben de kwetsbaarheden die we hebben ontdekt al erkend”, zei Bou-Harb. “Deze informatie zal helpen bij het immuniseren van deze laadstations om het publiek te beschermen en om aanbevelingen te doen voor toekomstige beveiligingsoplossingen in de context van EV’s en het slimme netwerk.”
De onderzoekers zijn van plan om door te gaan met het analyseren van meer laadstations om hun beveiligingshouding beter te begrijpen. Ze werken ook samen met verschillende industriële partners om vanaf de ontwerpfase nieuwe beveiligingsproducten vorm te geven en veerkrachtige beveiligingsmaatregelen te ontwikkelen die kwetsbare laadstations beschermen tegen uitbuiting.
Het onderzoek is gepubliceerd in Computers en beveiliging.
Tony Nasr et al, Power jacking your station: diepgaande veiligheidsanalyse van beheersystemen voor laadstations voor elektrische voertuigen, Computers en beveiliging (2021). DOI: 10.1016/j.cose.2021.102511
Geleverd door de Universiteit van Texas in San Antonio
