Уязвимость нашел специалист по кибербезопасности.
Специалист из Университета Цинхуа продемонстрировал способ массового отключения публичных зарядных станций для электромобилей. Аналогичные уязвимости обнаружены и в сервисах аренды электросамокатов, пишет The Register.
Специалист по безопасности IoT Хетян Ши выступил на конференции Black Hat Asia с докладом о критических уязвимостях в арендной инфраструктуре. По его словам, разработчики часто жертвуют безопасностью ради удобства пользователей. В зоне риска — зарядные станции для электромобилей и арендные самокаты.
Исследование показало, что устройства физически доступны злоумышленникам и нередко содержат отладочные порты и UART-разъемы. В прошивках используются общие ключи аутентификации, а серверная часть сервисов может некорректно проверять пользователей.
Ши разработал инструмент IDScope для эксплуатации уязвимостей. В ходе демонстрации он выбрал зарядную станцию в Шанхае и за несколько секунд перевел ее статус из «доступно» в «отключено» прямо через приложение. Метод позволяет не только выводить из строя отдельные устройства, но и потенциально отключать целые сети зарядок. Также возможно создание поддельных клиентов для бесплатного использования сервисов и получение доступа к данным пользователей.
Проблема носит глобальный характер. Ученый протестировал 11 европейских приложений для аренды самокатов и велосипедов и обнаружил схожие уязвимости. По его словам, причина — недостаточное внимание к безопасности на этапе разработки.
Источник: hi-tech.mail.ru