Как заправить электромобиль бесплатно? Подсказали хакеры с Pwn2Own

Безопасный VPN через Телеграмм – обойди все блокировки:

Уязвимость в Autel MaxiCharger не требует от атакующего особых навыков или оборудования.

На соревновании Pwn2Own Automotive 2024, который состоялся в январе этого года на территории Токио, команда исследователей продемонстрировала уязвимости в трёх различных зарядных устройствах для электромобилей: Autel MaxiCharger, ChargePoint Home Flex и JuiceBox 40. Одним из самых интересных результатов стало успешное выполнение кода на зарядном устройстве Autel MaxiCharger (модель MAXI US AC W12-L-4G) через Bluetooth без дополнительных условий, кроме нахождения в зоне его действия.

Зарядное устройство Autel MaxiCharger обладает множеством аппаратных функций, таких как Wi-Fi, Ethernet, Bluetooth, 4G LTE, RFID-считыватель и сенсорный экран. В ходе исследования команда обнаружила несколько серьёзных уязвимостей, включая возможность обхода аутентификации через Bluetooth ( CVE-2024-23958 ) и два уязвимых места в виде переполнения буфера ( CVE-2024-23959 и CVE-2024-23967 ). Эти баги позволяли злоумышленникам получить полный контроль над устройством.

Главной сложностью для исследователей было извлечение прошивки устройства. Команда предприняла несколько попыток, чтобы понять, как происходит обновление программного обеспечения через мобильное приложение и Bluetooth. Обнаружив, что ссылки для скачивания обновлений обфусцированы, хакеры смогли расшифровать их с помощью метода подстановки символов, что позволило им скачать прошивку и начать анализ.

Купи VPN в России за минуту через наш Телеграмм-бот:

В ходе анализа исследователи выявили баг в процессе аутентификации через Bluetooth, который позволял использовать заранее встроенный в прошивку код для обхода проверки подлинности. Это означало, что любое устройство в зоне действия Bluetooth могло подключиться к зарядному устройству без ввода кода аутентификации.

Также была обнаружена уязвимость в обработке данных через Bluetooth, которая позволяла вызвать переполнение буфера и выполнить произвольный код на устройстве. Злоумышленник мог, например, перепрограммировать устройство для работы вне его стандартных параметров безопасности, что потенциально могло нанести ущерб автомобилю или зарядному устройству.

  Амстердам против стихии: как технический сбой чуть не привел к катастрофе

Интересно, что Autel MaxiCharger обладает функцией, позволяющей владельцу предлагать своё зарядное устройство для общего пользования, с возможностью получения возмещения за потребляемую энергию. Исследователи отметили, что взлом такого устройства может позволить злоумышленникам манипулировать отчётами о потреблении энергии, что открывает возможности для мошенничества.

В завершение своего исследования команда отметила, что многие зарядные устройства для электромобилей обладают множеством подключаемых функций, что делает их уязвимыми для различного рода атак. Несмотря на то, что компания Autel оперативно выпустила патчи, исследователи подчеркнули важность регулярного обновления прошивки и тщательной проверки устройств на наличие уязвимостей.

В будущем подобные исследования помогут усилить безопасность инфраструктуры зарядки электромобилей и предотвратить возможные атаки, которые могут повлиять как на владельцев электромобилей, так и на целые городские энергосистемы.

Ваши данные уже украдены. Вопрос лишь в том, когда их используют против вас.

Узнайте, как защититься!

Платный VPN сервис — это инвестиция в вашу безопасность и конфиденциальность в интернете. Он предлагает множество преимуществ, включая защиту данных, отсутствие ограничений и доступ к обширной сети серверов. Если вы активно пользуетесь интернетом и хотите обезопасить свои данные, платный VPN будет лучшим выбором для вас.

Почему стоит использовать платный VPN сервис?

  • Безопасность: Если вы цените свою конфиденциальность и безопасность в интернете, платный VPN предоставляет более высокий уровень защиты по сравнению с бесплатными альтернативами.
  • Надёжность: Платные VPN-сервисы обычно имеют лучшие показатели надёжности и скорости, что делает их более подходящими для стриминга видео, скачивания и онлайн-игр.
  • Без рекламы: Большинство платных сервисов не показывают рекламу, в отличие от бесплатных, которые могут зарабатывать на размещении рекламы.

Добавить комментарий

Вернуться наверх