مجلة مال واعمال

حث أصحاب شاحن السيارة في المنزل على تثبيت التحديثات

-

مال واعمال – الامارات في 13 يوليو 2021-اكتشف باحثو الأمن عيوبًا في جهازي شحن للسيارات الكهربائية في المنزل.

تمكن الباحثون من تشغيل أجهزة الشحن أو إيقاف تشغيلها ، وإزالة وصول المالك ، وإظهار كيف يمكن للمتسلل الوصول إلى الشبكة المنزلية للمستخدم.

تم الآن إصلاح معظم العيوب ولكن يُطلب من المالكين تحديث تطبيقاتهم وأجهزة الشحن الخاصة بهم ، ليكونوا بأمان.

يأتي ذلك مع نشر تشريع جديد مقترح بشأن الأمن السيبراني للأجهزة – بما في ذلك أجهزة الشحن -.

تم العثور على جهازي شحن منزلي ، Wallbox و Project EV – كلاهما معتمد للبيع في المملكة المتحدة من قبل وزارة النقل – يفتقران إلى الأمان الكافي عند استخدامه مع تطبيق مصاحب للهواتف الذكية.

“في Wallbox ، يمكنك التحكم بشكل كامل في الشاحن ، ويمكنك الحصول على وصول كامل وإزالة وصول المالك المعتاد إلى الشاحن. يمكنك منعهم من شحن سياراتهم الخاصة ، وتوفير الشحن المجاني لسيارة المهاجم.

“كان تنفيذ Project EV سيئًا حقًا في نهايته الخلفية. كانت مصادقته في مكان وجوده بدائية جدًا ، لذلك يمكن للمهاجم بسهولة تصعيد نفسه ليصبح مسؤولاً وتغيير البرامج الثابتة لجميع أجهزة الشحن.”

يقول ستيكاس إن تغيير البرامج الثابتة – البرمجة المدمجة في الجهاز – سيسمح للمهاجمين بتعطيل الشاحن بشكل دائم ، أو استخدامه لمهاجمة أجهزة الشحن أو الخوادم الأخرى.

تعتبر Pen Test Partners واحدة من عدد سريع النمو من الشركات في المملكة المتحدة المتخصصة في اختبار الاختراق ، وهو شيء يشار إليه عادةً باسم “قرصنة القبعة البيضاء”.

تهدف “القبعات البيضاء” إلى العثور على المشكلات الأمنية وإبلاغ الشركات المعنية بها ، بحيث يمكن تصحيح نقاط الضعف قبل أن يتمكن المتسللون من الاستفادة من الفشل.

يعتقد Stykas أن أي شخص لديه القليل من المعرفة بأنظمة تطبيقات الويب القائمة على السحابة يمكن أن يقوم بنفس الاختراق.

“من الواضح جدًا لأي شخص يمكنه فهم الأنظمة السحابية والاتصال السحابي ، ولم يستغرق الأمر وقتًا طويلاً لاكتشاف الثغرة وإيجاد طريقة لاستغلالها.”

وجد الباحثون أيضًا أنه سيكون من الممكن في الحالات التي تكون فيها أجهزة الشحن متصلة بشبكة wi-fi بالشبكة المنزلية ، ليتمكن المتسللون أيضًا من الوصول إليها.

يقول كين مونرو من Pen Test Partner: “بمجرد دخولك إلى الشبكة المنزلية لشخص ما ، إذا لم تقم بتغيير كلمة مرور مسؤول جهاز التوجيه ، يمكنك إرسال كل حركة المرور إلى المتسلل.

“هذا يعني أنه يمكنهم القيام بأشياء مثل إعداد المواقع التي تبدو وكأنها الصفقة الحقيقية ولكن تسرق كلمات المرور الخاصة بك ومن ثم تم اختراق حسابك المصرفي الحقيقي على سبيل المثال. هناك كل أنواع الأشياء التي يمكنك القيام بها .. لذا فإن كل ما تفعله على الإنترنت من المحتمل مكشوف.”

يضيف Pen Test Partners في تقريره حول حالات الفشل الأمني ​​، أنه يمكن التحكم في أجهزة شحن متعددة في نفس الوقت باستخدام بعض نقاط الضعف التي تم العثور عليها ، والتي من المحتمل أن يستخدمها المهاجم لزيادة التحميل على شبكة الكهرباء في بعض المناطق والتسبب في انقطاع التيار الكهربائي.

وافقت الحكومة
يعد ضمان الأمن السيبراني جزءًا من شروط الحكومة لبيع أجهزة الشحن في المملكة المتحدة ، مما يسمح للمشترين بتلقي الإعانات الحكومية عند الشراء.

تم بيع آلاف الوحدات من كل من Wallbox و Project EV في المملكة المتحدة ، حيث يمكن لمالكي EV المؤهلين الحصول على مئات الجنيهات من الإعانات الحكومية لمساعدتهم على شراء شواحن السيارات المنزلية.

ورفضت وزارة النقل التعليق على الشاحنين اللذين تبين أنهما بهما عيوب أمنية.

وقال متحدث باسم الحكومة لبي بي سي: “هذا الخريف سنقدم تشريعات جديدة مصممة لزيادة حماية المستهلكين ونظام الطاقة من خلال فرض مجموعة من متطلبات الأمن السيبراني لنقاط شحن السيارات الكهربائية.”

سيتم تطبيق التشريع الجديد لوزارة الثقافة والإعلام والرياضة على العديد من أجهزة المستهلك المتصلة أو “الذكية”. ومن المتوقع أن تنشر الحكومة مشروع قانون بحلول الأسبوع المقبل.

عيوب ثابتة
قام كل من Pen Test Partners و BBC Click بالاتصال بالشركات لمنحهم فرصة لإصلاح المشكلات قبل نشر الثغرات الأمنية.

وقالت شركة Project EV ، التي تستورد أجهزة الشحن من شركة مقرها في الصين تسمى Atess: “أجرينا بعض المحادثات السريعة مع الشركة المصنعة .. لتحسين أمان منصتها.

“تمت معالجة جميع مشكلات الأمان التي أثيرت ، من خلال خادم جديد وتحديثات التطبيقات وتحديثات البرامج الثابتة لأجهزة الشحن المتصلة بالإنترنت.”

لم ترد Wallbox ، ومقرها إسبانيا ، على بي بي سي ، لكنها أخبرت شركة Pen Test Partners أنهم قاموا بإصلاح المشاكل عبر الإنترنت.

تشير إعادة الاختبار إلى أنه تم إصلاح مشكلات الأمان المستندة إلى الويب مع كلا الشاحنين. يتم تشجيع المالكين على التحقق من وجود أي تحديثات أمنية صادرة عن الشركتين.

ومع ذلك ، يقول كين مونرو إن شاحن Wallbox يستخدم أجهزة – وحدة Raspberry Pi – غير آمنة بدرجة كافية.

“لا يوجد حقًا ما يمكنك القيام به لجعله آمنًا تمامًا ، لذلك ما لم تجد Wallbox طريقة لإصلاح ذلك – وهو الأمر الذي سيكون بعيدًا عني – أقترح ربما إدخال غطاء الصندوق بشكل كبير ، حتى لا يتمكن المتسللون من نزع القمة . “