Операторы сервисов аренды электромобильных зарядок и электровелосипедов жертвуют безопасностью в пользу удобства пользователей, используя архитектуру интернета вещей. Как следствие, инфраструктура становится лёгкой мишенью для кибератак, сообщил The Register.
Китайский эксперт Хэтянь Ши (Hetian Shi) продемонстрировал на профильной конференции уязвимость подобных сервисов перед типовыми кибератаками. Исследователь установил, что арендное оборудование комплектуется портами, через которые обладающий соответствующими навыками злоумышленник может находить уязвимости. В прошивках устройств и в серверных службах нередко применяются общие ключи аутентификации, а клиентские приложения арендных сервисов также отличаются слабой защитой.
Обойдя защиту приложения, хакер способен создавать фантомных клиентов — их поставщики услуг не смогут отличить от реальных. Такие фальшивые клиенты позволяют пользоваться арендной техникой бесплатно. Кроме того, под угрозой оказывается личная информация клиентов этих служб, поскольку доступ к серверной части зачастую не представляет сложной задачи.
Свои слова Хэтянь Ши подкрепил эффектной демонстрацией. Эксперт создал универсальное средство взлома арендных сервисов IDScope и показал его работу с iOS-приложением одной из популярных в Китае сетей зарядных станций для электромобилей. Он попросил аудиторию выбрать город — выбор пал на Шанхай, — после чего указал на одну из станций в центре, установил в приложении её идентификатор и ввёл в свой скрипт. Через секунду или две соответствующий зарядному устройству зелёный значок («Свободно») сменился на серый («Отключено»).
Слабая защита в реализации сервисов на архитектуре интернета вещей позволяет не только взламывать оборудование, но и производить на такие сервисы DDoS-атаки, выводя из строя целые городские сети зарядных устройств для электромобилей. Исследователь также протестировал 11 приложений европейских поставщиков услуг и обнаружил в них аналогичные проблемы, сделав вывод, что подобные уязвимости характерны для этих сервисов по всему миру.
Проблемы безопасности в транспортной отрасли и технологические риски волнуют регуляторов по всему миру, и Китай здесь не исключение. Интернет-газета «ЖУК» сообщала, что Министерство промышленности и информационных технологий Китая опубликовало проект стандарта GB 11557-202X, который фактически запрещает использование рулей с отсутствующей верхней частью — такие «штурвалы», популярные благодаря Tesla, не смогут пройти обязательные краш-тесты.