Carregadores de carros elétricos estão vulneráveis e podem levar a apagão geral

Seguindo a tendência de outros produtos do cotidiano de se digitalizar e usar conexões com a internet para oferecer recursos, carregadores de carros elétricos cada vez mais oferecem opções de acesso remoto e conexões com outros dispositivos. No entanto, enquanto pode trazer mais conveniência para os usuários, essa transição também vem acompanhada por sérios riscos de segurança, conforme mostra um estudo da Pen Test Partners.

• Hyundai promete autonomia absurda para seu novo carro elétrico
• Suspeito de vender carros elétricos pelas redes sociais e não entregar é detido
• Empresas podem ter de indenizar quem teve os dados vazados em ciberataques

Em seu blog oficial, os pesquisadores mostraram o resultado das análises de seis sistemas de carregamento, tanto para ambientes pessoais quanto para ambientes públicos. A conclusão geral é que a grande maioria deles possui falhas de segurança graves, que permitem desde o controle remoto de suas funções até a invasão de outros dispositivos que compartilham a mesma rede.

Além de conseguir ligar e desligar os carregadores remotamente, também foi possível inserir neles backdoors que podem comprometer qualquer dispositivo conectado aos carregadores. Segundo a Pen Test Partners, as falhas de segurança surgem como consequência da tentativa de fabricantes de cortar custos de fabricação —muitas marcas constroem seus dispositivos a partir de módulos do Raspberry Pi, ferramenta barata e fácil de adquirir pela internet.

“Amamos o Pi, mas, em nossa opinião, ele não é adequado para uso comercial em dispositivos públicos, já que é muito difícil protegê-lo totalmente contra a restauração de dados armazenados”, afirmam os envolvidos com o estudo. Entre os casos destacados está o EO mini pro 2, carregador vendido na Europa que, em sua primeira versão, trazia componentes mais personalizados “Esse parece um passo para trás”, afirma a Pen Test Partners.

Apagão elétrico

Além das falhas nos carregadores, a pesquisa revelou problemas nas redes usadas para permitir que diferentes dispositivos se conectem às mesmas redes e aplicativos de pagamento. “Encontramos um endpoint GraphQL exposto na Chargepoint, um grande provedor de infraestrutura de carregamento dos Estados Unidos que tem seus próprios acordos e fornece ‘roaming’ para 150 mil carregadores nos EUA, Europa e em outros lugares”, explicam os pesquisadores.

A partir dessa falha, foi possível verificar detalhes da API usada pela empresa, que não explorou mais a brecha. “No entanto, acreditamos que seria possível associar uma conta de usuário a outra e obter um carregamento gratuito cobrado na carteira de outra pessoa, por exemplo”. Após ser notificada, a Chargepoint corrigiu o problema em aproximadamente 24 horas — a companhia colabora ativamente com pesquisadores para reforçar a segurança de seus sistemas.

Segundo a Pen Test Partners, as brechas de segurança encontradas colocam em risco a malha energética dos países em que carros elétricos já são amplamente adotados. Ao ligar e desligar uma grande quantidade de carregadores de uma única vez, é possível criar uma “arma cibernética” que pode gerar cortes no fornecimento de energia em regiões pré-determinadas por um ataque, por exemplo.

Os pesquisadores afirmam que, na corrida para estabelecer o mercado de veículos elétricos, houve uma série de compromissos de segurança nas APIs usadas, bem como escolhas problemáticas de hardware. “Esperamos que essa pesquisa vá encorajar fabricantes e reguladores a garantir que a segurança é levada mais a sério”, concluem.

Fonte: Futurism, Pen Test Partners