Китайский эксперт доказал легкость взлома городских сетей электрозарядок

Операторы служб аренды, например, электровелисипедов или зарядных устройств для электромобилей пренебрегают безопасностью. Это делается в угоду удобству пользователей, но инфраструктура оказывается крайне уязвима перед кибератаками.

Уязвимость подобных сервисов перед типовыми кибератаками продемонстрировал на профильной конференции китайский эксперт Хэтянь Ши. Сервисы аренды, использующие технологии интернета вещей, уязвимы на уровне архитектуры, установил он: арендное оборудование комплектуется портами, подключившись к которым обладающий соответствующими навыками злоумышленник может находить уязвимости.

В прошивках устройств и в серверных службах могут использоваться общие ключи аутентификации; слабой защитой отличаются и клиентские приложения арендных сервисов. Обойдя защиту приложения, хакер может, например, создавать фантомных клиентов, которых поставщики услуг не смогут отличить от действительных — фантомные клиенты позволяют пользоваться арендной техникой бесплатно. Под угрозой оказывается и личная информация клиентов этих служб, потому что доступ к серверной части оказывается относительно несложной задачей.

Свои слова Хэтянь Ши подкрепил эффектной демонстрацией. Он создал универсальное средство взлома арендных сервисов IDScope и показал как оно работает с iOS-приложением одной из популярных в Китае сетей зарядных станций для электромобилей. Он попросил аудиторию выбрать город — выбор пал на Шанхай, — после чего указал на одну из станций в центре города, установил в приложении её идентификатор и ввёл его в свой скрипт. Через секунду или две соответствующий зарядному устройству зелёный значок («Свободно») сменился на серый («Отключено»).

Слабая защита в реализации сервисов на архитектуре интернета вещей позволяет не только взламывать оборудование, но и производить на такие сервисы DDoS-атаки, выводя тем самым из строя целые городские сети зарядных устройств для электромобилей, сообщает 3dnews.ru.