devqp
Специалист
В протоколе Open Charge Point Protocol (OCPP) версии 1.6J, использующем WebSockets для связи между зарядными станциями и системами управления (CSMS), обнаружены критические уязвимости аутентификации. Актуальная версия стандарта — OCPP 2.0.1.
Основная проблема: CSMS-провайдеры используют только идентификатор зарядной станции для аутентификации, что позволяет злоумышленнику:
1. Инициировать DoS-атаку путём установки параллельного WebSocket-соединения, приводящего к разрыву легитимной сессии
2. Перехватывать конфиденциальные данные (персональная информация водителей, платежные реквизиты, учетные данные CSMS) через подмену активного соединения
Механизм эксплуатации: При установке нового соединения с тем же идентификатором:
- CSMS либо разрывает оригинальную сессию (сценарий DoS)
- Либо поддерживает оба соединения, перенаправляя ответы на поддельный канал
Риски актуальны для всех систем, использующих устаревшую версию OCPP 1.6J без дополнительных механизмов аутентификации. Рекомендуется переход на OCPP 2.0.1 с улучшенной моделью безопасности.
Источник: https://thehackernews.com/2023/02/is-your-ev-charging-station-safe-new.html
Основная проблема: CSMS-провайдеры используют только идентификатор зарядной станции для аутентификации, что позволяет злоумышленнику:
1. Инициировать DoS-атаку путём установки параллельного WebSocket-соединения, приводящего к разрыву легитимной сессии
2. Перехватывать конфиденциальные данные (персональная информация водителей, платежные реквизиты, учетные данные CSMS) через подмену активного соединения
Механизм эксплуатации: При установке нового соединения с тем же идентификатором:
- CSMS либо разрывает оригинальную сессию (сценарий DoS)
- Либо поддерживает оба соединения, перенаправляя ответы на поддельный канал
Риски актуальны для всех систем, использующих устаревшую версию OCPP 1.6J без дополнительных механизмов аутентификации. Рекомендуется переход на OCPP 2.0.1 с улучшенной моделью безопасности.
Источник: https://thehackernews.com/2023/02/is-your-ev-charging-station-safe-new.html