Co przyciąga ataki man-in-the-middle do pojazdów elektrycznych z Dalekiego Wschodu

Firma

Co przyciąga ataki man-in-the-middle do pojazdów elektrycznych z Dalekiego Wschodu

Ataki man-in-the-middle trafiają w elektryczne pojazdy z Dalekiego Wschodu z powodu słabych protokołów komunikacyjnych i błędnych implementacji, co umożliwia przechwytywanie VIN, manipulowanie parametrami ładowania i uruchamianie fałszywych punktów dostępu.

Główne punkty

  • słabe zabezpieczenia bezprzewodowe w stacjach ładowania umożliwiają ataki typu Rogue AP i MITM,
  • mechanizmy Plug-and-Charge oparte na numerze VIN bywają obchodzone poprzez przechwycenie identyfikatora,
  • skutki obejmują oszustwa finansowe, degradację baterii, DoS i zagrożenia dla floty,
  • efektywne zabezpieczenia to fingerprinting baterii, segmentacja sieci, TLS mutual auth i IDS/IPS.

Dlaczego konkretne pojazdy i stacje z Dalekiego Wschodu są atrakcyjne dla atakujących?

Chińskie i inne azjatyckie systemy szybkiego ładowania często stosują niestandardowe rozszerzenia CCS oraz lokalne protokoły DC, które w praktyce okazały się podatne na nadużycia. W laboratoriach i testach w terenie zaobserwowano kombinację problemów: słabe zabezpieczenia bezprzewodowe (np. brak szyfrowania kontroli sesji w Wi‑Fi stacji), uproszczone mechanizmy Plug-and-Charge opierające się na jawnych numerach VIN oraz błędy w obsłudze komunikatów CCS. Te czynniki razem tworzą środowisko sprzyjające atakom MITM, które w praktyce umożliwiają zarówno oszustwa finansowe, jak i fizyczne uszkodzenia sprzętu.

Badania wykazały, że ataki są skuteczniejsze tam, gdzie:
– producenci rozszerzają standardy bez solidnej weryfikacji bezpieczeństwa,
– komunikacja po bezprzewodowych kanałach nie jest zabezpieczona mutual TLS,
– autoryzacja opiera się na łatwo dostępnych identyfikatorach (np. VIN bez dodatkowego fingerprintingu baterii).

Jak przeprowadza się atak MITM na EV i EVSE?

  1. stworzenie fałszywego punktu dostępu (Rogue AP) lub podszycie się pod EVSE w sieci lokalnej – atakujący podejmuje próbę zmiany ścieżek komunikacyjnych,
  2. przechwycenie pakietów kontrolnych i sesji OCPP/CCS z użyciem ARP spoofingu lub przechwytywania Wi‑Fi – zdobycie sesji pozwala na odczyt i modyfikację komunikatów,
  3. manipulacja komunikatami: np. zastąpienie „startCharging” komunikatem „stopCharging” lub zmiana parametrów prądowych w sesji CCS, co prowadzi do fałszywych odczytów lub fizycznych przeciążeń,
  4. wykorzystanie przechwyconego VIN do autoryzacji sesji Plug-and-Charge i uzyskanie darmowego ładowania lub nadużyć finansowych.

Bezpośrednie skutki ataków

  • ekonomiczne: fałszywe fakturowanie, darmowe ładowanie, kradzieże środków z kont użytkowników,
  • fizyczne: przeładowanie baterii, skrócenie żywotności ogniw, miejscowe przegrzanie i aktywacja zabezpieczeń awaryjnych (np. dwukrotny wzrost prądu przez 17 sekund spowodował odcięcie w testach),
  • dostępność: DoS stacji ładowania lub całych flot przez masowe przerwanie sesji (atak „Brokenwire”),
  • bezpieczeństwo operacyjne: złośliwe zmiany parametrów mogą zaburzyć systemy zarządzania energią i prowadzić do błędnych decyzji operatora.

Dane i liczby z badań

W literaturze i raportach branżowych pojawiają się konkretne liczby i dowody empiryczne, które obrazują skalę zagrożeń i efektywność zabezpieczeń:
– w testach na rzeczywistych urządzeniach badacze obserwowali manipulacje wyświetlanej mocy, np. raportowanie 900 kW zamiast 40 kW, co wskazuje na błędne parsowanie lub fałszywe wartości w interfejsach operatora,
– w jednym z PoC wstrzyknięcie prądu dwukrotnie wyższego przez 17 sekund spowodowało aktywację zabezpieczeń awaryjnych EVSE i przerwanie sesji, co pokazuje bezpośrednie ryzyko dla sprzętu i bezpieczeństwa baterii,
– testy na pięciu modelach pojazdów z Azji Wschodniej potwierdziły, że lokalne protokoły ładowania były podatne na MITM przy wykorzystaniu Rogue AP i wadliwych implementacji CCS,
– analizy incydentów w systemach typu smart grid wskazują, że około 80% problemów z protokołami przemysłowymi SCADA wiązało się z MITM na protokołach takich jak Modbus — to istotne, bo podobne wzorce błędów występują w infrastrukturze ładowania energii,
– raporty cybersecurity wykazują ~30% roczny wzrost liczby ataków na infrastrukturę EV w latach 2020–2025, ze szczególną koncentracją w regionie Azji – to sygnał, że problem rośnie szybciej tam, gdzie wdrożenia są najszybsze, ale zabezpieczenia najsłabsze,
– wdrożenie systemów IDS w testach laboratoryjnych zmniejszyło liczbę udanych ataków MITM o około 70%, co pokazuje wysoką wartość detekcji anomalii protokołowych.

Te liczby potwierdzają, że zarówno proste błędy implementacyjne, jak i brak segmentacji sieci tworzą realne wektory ataku z wymiernymi konsekwencjami.

Techniczne wektory ataku — szczegóły

Atakujący łączą kilka elementów: podatne bezprzewodowe punkty dostępu (Rogue AP), brak wzajemnej autoryzacji TLS, możliwość downgradingu protokołu i brak integralności komunikatów. Typowe techniki obejmują wymuszanie pracy w niezabezpieczonych trybach (downgrading), podszywanie się pod komponenty chmurowe operatora w celu przekierowania sesji, oraz modyfikację komunikatów rozliczeniowych, co pozwala na fałszowanie odczytów energii. W praktyce brak podpisów w komunikatach OCPP i brak mutual TLS otwierają drogę do podsłuchu i modyfikacji sesji, a słabe procedury aktualizacji firmware umożliwiają atak przez złośliwy obraz oprogramowania.

Skuteczne zabezpieczenia

  • fingerprinting baterii: porównanie charakterystyki ładowania z wzorcem referencyjnym w celu wykrycia spoofa,
  • segmentacja sieci (VLAN) i izolacja EVSE od sieci publicznej celem ograniczenia wektorów Rogue AP,
  • mutual TLS i podpisywanie komunikatów OCPP w celu zapewnienia integralności i autentyczności sesji,
  • systemy IDS/IPS monitorujące anomalie protokołowe (CCS, OCPP, Modbus) – wdrożenie w testach zmniejszyło skuteczne MITM o około 70%,
  • sygnowanie firmware’u i weryfikacja integralności urządzeń oraz kontrola łańcucha dostaw.

Fingerprinting baterii oraz certyfikowane kanały autoryzacji istotnie obniżają ryzyko oszustw opartych na przechwyconym VIN. W praktyce połączenie kilku warstw ochrony (defence in depth) daje najlepsze efekty: sieć odseparowana VLAN, silne certyfikaty TLS, detekcja anomalii i kontrola firmware.

Praktyczne kroki dla operatorów stacji ładowania

  1. wdróż mutual TLS dla komunikacji OCPP i wymuś stosowanie certyfikatów z centralnym CA lub PKI,
  2. segmentuj sieć: oddziel EVSE, systemy rozliczeniowe i sieci gościnne poprzez VLAN i ACL,
  3. zaimplementuj fingerprinting baterii jako dodatkową warstwę autoryzacji dla Plug-and-Charge oraz porównuj charakterystyki ładowania z bazą referencyjną,
  4. zainstaluj IDS/IPS z regułami specyficznymi dla CCS, OCPP i protokołów przemysłowych oraz testuj go regularnie,
  5. wdróż sygnowanie firmware’u i mechanizmy weryfikacji integralności urządzeń oraz zarządzaj listą zatwierdzonych urządzeń (allowlist),
  6. monitoruj i audytuj logi: ustaw alarmy przy zmianie wartości mocy o więcej niż 20% względem historycznego trendu i przeprowadzaj okresowe testy penetracyjne.

Wskazówki dla użytkowników (kierowców)

Użytkownicy mogą zmniejszyć ryzyko, stosując proste zasady bezpiecznego zachowania: unikaj łączenia aplikacji ładowania z publicznym Wi‑Fi, używaj sieci komórkowej lub VPN podczas autoryzacji; zanim rozpocznie się ładowanie, sprawdź w aplikacji zadane parametry i porównaj je z wartościami raportowanymi przez stację; wybieraj operatorów, którzy komunikują w materiałach publicznych stosowanie mechanizmów takich jak fingerprinting baterii i mutual TLS; dokumentuj podejrzane zdarzenia (nagłe przerwania sesji, nieprawidłowe odczyty mocy, podejrzane pozycje na fakturach) i zgłaszaj je operatorowi.

Reagowanie po wykryciu podejrzanej sesji

  1. natychmiast przerwij sesję przez fizyczne wyłączenie zasilania EVSE lub odłączenie pojazdu,
  2. zabezpiecz i zachowaj logi sieciowe oraz zrzuty komunikatów CCS/OCPP z czasu incydentu,
  3. zgłoś incydent operatorowi stacji oraz dostawcy EVSE, podając dokładne czasy i numer stacji,
  4. jeśli to możliwe, sprawdź historię ładowań pojazdu i porównaj odczyty z fakturami,
  5. jeżeli incydent dotyczy floty, odizoluj kolejne pojazdy i przeprowadź kontrolę bezpieczeństwa przed wznowieniem usług.

Dowody z badań i PoC

Badania akademickie oraz PoC na rzeczywistym sprzęcie potwierdzają realność zagrożeń. Testy wykazały, że atakujący mogą manipulować komunikatami ładowania, zmieniać parametry sesji i korzystać z VIN do obejścia autoryzacji Plug-and-Charge. W kilku eksperymentach na pięciu modelach pojazdów z Azji Wschodniej przeprowadzono MITM z efektami DRM (manipulacja mocy) oraz DoS, co pokazuje praktyczną wykonalność ataków. Laboratoria, które wdrożyły fingerprinting i IDS, zredukowały skuteczne ataki o około 70%, potwierdzając wartość zabezpieczeń warstwowych.

Najważniejsze ryzyka do monitorowania

najważniejsze sygnały ostrzegawcze obejmują podszywanie się pod EVSE przez Rogue AP, manipulację pakietami CCS i OCPP bez podpisu, przechwycenie i reuse numeru VIN w sesjach Plug-and-Charge oraz złośliwe aktualizacje firmware bez weryfikacji podpisu. Monitorowanie tych obszarów w połączeniu z audytami bezpieczeństwa i testami penetracyjnymi pozwala na szybsze wykrycie prób nadużyć i ograniczenie skutków incydentów.

Przeczytaj również:

Related Posts