Dado que la creación de ciberataques de prueba de concepto (PoC) para la Internet de los objetos (IO) es esencialmente como disparar a peces en un barril en estos días, quizá no sea exactamente sorprendente que una nueva categoría de nicho haya demostrado presentar una nueva superficie de ataque: las estaciones de carga de vehículos eléctricos (EV).
Una investigación de Kaspersky Lab, demuestra que un atacante inteligente podría hackear una estación y evitar que un automóvil se cargue. O en un escenario mucho peor, incluso podría cambiar la corriente para iniciar un incendio.
Los expertos investigaron una de las estaciones, apodada la oferta ChargePoint Home, y encontraron una serie de vulnerabilidades que podrían dar a un atacante acceso ilimitado al dispositivo.
Para empezar, el equipo de investigación descubrió que un atacante podía detener el proceso de carga de un coche en cualquier momento, “restringiendo la capacidad del propietario de un vehículo eléctrico para conducir allí donde fuera necesario, e incluso causando pérdidas económicas”, según el informe de Kaspersky Lab, que se publicó durante la última semana.
El punto de ataque es la aplicación móvil de ChargePoint Home, que permite al usuario final controlar remotamente el proceso de carga.
“Todo lo que se necesita es registrar una nueva cuenta en la aplicación, conectar un smartphone al dispositivo vía Bluetooth, configurar los parámetros de una red Wi-Fi para una conexión a Internet, y terminar el proceso de registro enviando el ID de usuario creado y las coordenadas GPS del smartphone al backend desde el dispositivo”, dijeron los investigadores de Kaspersky Lab.
Para una investigación más profunda, los investigadores conectaron la estación de carga a su red Wi-Fi y descubrieron que, una vez que un usuario estaba registrado en una aplicación, era trivial pasar por alto el mecanismo de autenticación para añadir un nuevo usuario permanente adicional, sin que el propietario legítimamente registrado lo supiera.
“Tenía un puerto telnet abierto con autenticación de contraseña”, explicó el equipo. “Para evitar la autenticación, usamos JTAG para inyectar nuestro código en el procedimiento de verificación de contraseña….y para evitar la autenticación con una contraseña incorrecta.”
En este punto, ese usuario secundario y secreto puede utilizar la aplicación móvil para encender y apagar la estación de carga.
La estación de carga también tiene un servidor web con CGI habilitado en el dispositivo, que presenta varios defectos.
“Descubrimos una serie de vulnerabilidades en los binarios CGI que pueden ser utilizadas por un intruso para obtener el control del dispositivo”, dijeron los investigadores.
Añadieron que “dos de ellos se encontraban en el binario utilizado para subir archivos en diferentes carpetas al dispositivo dependiendo de los parámetros de la cadena de consulta”. Se encontraron múltiples desbordamientos de búferes de pila en el binario utilizado para enviar diferentes comandos al cargador, y uno se encontró en otro binario utilizado para descargar diferentes registros del sistema desde el dispositivo. “Todo esto ofrece a los atacantes la oportunidad de controlar el proceso de carga mediante la conexión a la red Wi-Fi del objetivo”, se afirmó en el reporte.
Esto significa que alguien podría, en teoría, ajustar la corriente máxima que puede consumirse durante la carga.
“Como resultado, un atacante puede desactivar temporalmente partes del sistema eléctrico del hogar del usuario o incluso causar daños físicos; por ejemplo, si el dispositivo no está conectado correctamente, podría producirse un incendio debido al sobrecalentamiento de los cables”, señalaron los expertos.
También, se encontraron fallas en la pila Bluetooth, pero son menores debido al uso limitado de Bluetooth durante el funcionamiento normal del dispositivo.
Kaspersky Lab dijo que informó los problemas a ChargePoint, y que las vulnerabilidades ya han sido corregidas.
“La pregunta sigue siendo si hay alguna razón para implementar interfaces inalámbricas cuando no hay una necesidad real de ellas”, anotaron los investigadores. “Los beneficios que traen a menudo, son superados por los riesgos de seguridad.”
Con información de: Kaspersky Lab