Vuoi fare il rifornimento Gratis della tua Auto Elettrica? Al Pwn2Own sembra che ci siano riusciti

Al concorso Pwn2Own Automotive 2024 , che si è svolto nel gennaio di quest’anno a Tokyo, un team di ricercatori ha dimostrato le vulnerabilità in tre diversi caricabatterie per veicoli elettrici: Autel MaxiCharger, ChargePoint Home Flex e JuiceBox 40. Uno dei risultati più interessanti è stata l’esecuzione riuscita del codice sul caricabatterie Autel MaxiCharger (modello MAXI US AC W12-L-4G) tramite Bluetooth senza ulteriori condizioni se non quella di trovarsi all’interno della sua area di copertura.

Autel MaxiCharger ha molte funzionalità hardware come Wi-Fi, Ethernet, Bluetooth, 4G LTE, lettore RFID e touch screen. Durante la ricerca, il team ha scoperto diverse vulnerabilità gravi, tra cui la capacità di bypassare l’autenticazione Bluetooth ( CVE-2024-23958 ) e due vulnerabilità di buffer overflow ( CVE-2024-23959 e CVE-2024-23967 ). Questi bug hanno consentito agli aggressori di ottenere il pieno controllo del dispositivo.

La difficoltà principale per i ricercatori è stata estrarre il firmware del dispositivo. Il team ha effettuato diversi tentativi per comprendere come funzionano gli aggiornamenti software tramite l’app mobile e il Bluetooth. Dopo aver scoperto che i collegamenti per il download degli aggiornamenti erano offuscati, gli hacker sono riusciti a decrittografarli utilizzando la sostituzione dei caratteri, consentendo loro di scaricare il firmware e iniziare l’analisi.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Durante l’analisi, i ricercatori hanno identificato un bug nel processo di autenticazione Bluetooth che consentiva l’utilizzo di codice precostruito nel firmware per aggirare l’autenticazione. Ciò significava che qualsiasi dispositivo nel raggio d’azione del Bluetooth poteva connettersi al caricabatterie senza inserire un codice di autenticazione.

Inoltre è stata scoperta una vulnerabilità nell’elaborazione dei dati tramite Bluetooth, che potrebbe causare un buffer overflow ed eseguire codice arbitrario sull’apparecchio. Un utente malintenzionato potrebbe, ad esempio, riprogrammare il dispositivo affinché funzioni al di fuori delle sue impostazioni di sicurezza standard, causando potenzialmente danni al veicolo o al caricabatterie.

È interessante notare che Autel MaxiCharger ha una funzionalità che consente al proprietario di offrire il proprio caricabatterie per uso pubblico, con la possibilità di ricevere un rimborso per l’energia consumata. I ricercatori hanno notato che l’hacking di un dispositivo del genere potrebbe consentire agli aggressori di manipolare i rapporti sui consumi energetici, aprendo opportunità di frode.

Il team ha concluso la ricerca rilevando che molti caricabatterie per veicoli elettrici hanno molteplici funzionalità di plug-in, che li rendono vulnerabili a vari tipi di attacchi. Sebbene Autel abbia rilasciato rapidamente le patch, i ricercatori hanno sottolineato l’importanza di aggiornare regolarmente il firmware e di controllare attentamente le vulnerabilità dei dispositivi.

In futuro, ricerche come questa contribuiranno a rafforzare la sicurezza delle infrastrutture di ricarica dei veicoli elettrici e a prevenire possibili attacchi che potrebbero colpire sia i proprietari di veicoli elettrici che interi sistemi elettrici cittadini.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.