Názory k článku Postřehy z bezpečnosti: nabíjení elektromobilů zadarmo kvůli chybám ve stanicích

> Webové rozhraní nabíjecích stanic EVlink řad City, Parking a Smart Wallbox obsahuje chyby, které umožňují dobíjení zadarmo, vyřazení stanice z provozu, manipulaci se záznamy o nabíjení nebo přebíjení/nedo­bíjení vozidel.

To přebíjení si úplně nedokážu představit, vzhledem k tomu, že tyhle nabíjecí stanice obsahují jako akční člen jen jeden stykač, který sepne po řádném spojení s autem. Veškerá nabíjecí inteligence (pro nabíjení střídavým proudem) je přímo uvnitř auta a nabíjecí stanice ji může ovlivnit nanejvýš tak, že autu vypne proud, nebo bude signalizovat jinou než reálnou proudovou kapacitu přípojky.

Totéž platí i pro nabíjení DC proudem, kdy BMS auta si řídí nabíjení samo. Nikdy ne stanice, ta pouze "provozuje" měnič AC/DC.

Ztratilo se to v překladu :-) v originální zprávě stojí

Attackers can change the charging station configuration arbitrarily, charge without authorization or send arbitrary charging data records to the supervision system (e.g. overcharging/un­dercharging).

což má podle kontextu význam finanční, tj. útočník změnou odeslaných dat může zvýšit nebo snížit fakturovanou částku odesláním vyššího nebo nižšího počtu kWh do nějakého CRMka.

26. 7. 2021, 11:15 editováno autorem komentáře

Souhlas, ale... V originále je klíčové slovo "could", které se ztratilo v překladu. Autor původního vyjádření tedy spíš jen spekuluje - některé nabíječky v budoucnu by například mohly upravovat nabíjecí napětí na základě komunikace s autem. Kdyby nebylo zabezpečené přepínání mezi 500V a 1000V nabíjením...

Nabíječky upravují výstupní napětí podle požadavků EV, je to součástí jejich komunikačního protokolu (CCS, ChaDeMo,...). Jenže tato část kódu je od spojení s backendem oddělena a nějaké webové rozhraní do toho nemá co kecat.

Tak je to jedině správně.

Stejně tak je jedině správně, když řízení kritické infrastruktury (třeba ropovodu) má svůj vlastní systém, do kterého žádné zařízení přístupné z internetu nemá co kecat...

28. 7. 2021, 14:07 editováno autorem komentáře

Ty kritické zranitelnosti Oracle se konkrétně týkají WebLogicu – v článku tahle dost podstatná informace chybí.

Byli tam i vazny zranitelnosti (9.x) OpenJDK a OracleJDK

Což jsou ale jiné, než ty uvedené v článku. Navíc ty se řeší spíš v rámci Javy, protože je potřeba to záplatovat ve všech distribucích OpenJDK, nejen v té Oraclovské.