Le stazioni di ricarica e le applicazioni per veicoli elettrici sono spesso inadeguatamente protette dai rischi per la sicurezza. Gli attacchi informatici riusciti contro tali applicazioni consentono azioni che vanno dalla frode al sabotaggio.
Con una capitalizzazione di mercato prevista di 457 miliardi di dollari nel 2023, si prevede che il mercato dei veicoli elettrici quasi raddoppierà entro il 2027 con vendite previste di 16 milioni di veicoli all’anno. Per soddisfare la crescente necessità di stazioni di ricarica e offrire ai proprietari di veicoli elettrici un’esperienza senza soluzione di continuità, il numero di applicazioni per stazioni di ricarica per veicoli elettrici è aumentato in modo esponenziale. Esistono app per l'utente finale per localizzare le stazioni di ricarica, app di pagamento per caricare le batterie, app endpoint che aiutano i conducenti a monitorare e gestire il proprio consumo di elettricità e app di livello aziendale per la gestione delle flotte di stazioni di ricarica e delle reti di ricarica negli edifici commerciali e residenziali.
Una matrice di dispositivi finali e applicazioni
Tutte queste applicazioni in genere interagiscono tra loro e con servizi e piattaforme di terze parti tramite API o plug-in JavaScript. Queste applicazioni elaborano sia i dati sensibili e personali del conducente sia le informazioni sul veicolo. Inoltre, sono collegati a una sofisticata infrastruttura backend che gestisce la distribuzione efficiente dell'energia ai caricabatterie degli endpoint.
Le applicazioni di addebito sono vulnerabili a molti rischi di sicurezza informatica. Attirano una serie di soggetti malintenzionati, inclusi gruppi terroristici o criminali, che tentano di danneggiare fisicamente la stazione di ricarica e il veicolo. Inoltre, gli hacker malintenzionati tentano di ottenere guadagni illeciti rubando denaro, elettricità o informazioni personali. Il problema è che le infrastrutture di ricarica sono altamente vulnerabili alle violazioni dei dati, alle perdite finanziarie e ai rischi per la sicurezza. E come ogni mercato giovane, mancano ancora la consapevolezza e le normative per tutelarsi adeguatamente.
Diverse sfide per la sicurezza
Le applicazioni connesse alle stazioni di ricarica endpoint sono vulnerabili a vari tipi di attacchi informatici, tra cui ATO (account takeover), MITM (man-in-the-middle), attacchi alla catena di fornitura, abuso di API, falsificazione di richieste lato client e lato server, XSS (Cross Site Scripting).
"Una delle sfide per la sicurezza è che le applicazioni in esecuzione sui dispositivi delle stazioni di ricarica non vengono aggiornate con la frequenza che dovrebbero", afferma Uri Dorot, Senior Security Solutions Lead presso Radware. "Di conseguenza, molte versioni obsolete di Linux e JavaScript presentano nuove vulnerabilità a cui non sono state applicate le patch."
La tecnologia viene prima di tutto. Le normative sono in ritardo
A differenza delle banche, dei servizi finanziari e dei settori dei viaggi e dell’e-commerce, dove le autorità di regolamentazione richiedono l’implementazione di soluzioni di sicurezza informatica come: B. un WAF (Web Application Firewall), il settore della ricarica sta ancora attraversando i primi passi normativi. “Attualmente, le normative e gli standard del settore in materia di tariffazione, come ISO 15118 e SAE J3061, specificano solo le misure di sicurezza che le società di ricarica dovrebbero prendere in considerazione per proteggere i propri sistemi e i dati dei clienti dagli attacchi informatici”, ha affermato Dorot. “In altre parole, non esistono requisiti né alcuna applicazione per garantire che vengano utilizzati specifici strumenti di sicurezza informatica”.
Rischi comuni di sicurezza informatica per le applicazioni di addebito
Malware e virus: Sia malware che virus possono essere introdotti in un'applicazione di ricarica tramite servizi di terzi infetti all'interno della catena di fornitura delle stazioni di ricarica, attacchi bot sofisticati e iniezioni. Possono accedere tramite un dispositivo dell'utente finale compromesso o infetto, un computer di infotainment di bordo o un'unica stazione di ricarica esterna indipendente. Tutto ciò può portare ad accessi non autorizzati all’infrastruttura di ricarica, al furto di dati o al danneggiamento delle applicazioni.
Crittografia mancante: Senza un'adeguata crittografia dei dati trasmessi tra l'applicazione di ricarica e la stazione di ricarica, i dati dell'utente possono essere intercettati e compromessi.
Autenticazione insufficiente: Meccanismi di autenticazione deboli possono consentire agli utenti non autorizzati di accedere all’applicazione di ricarica e all’infrastruttura di ricarica. Ciò può portare ad un uso improprio, al furto di dati o al danneggiamento dell'applicazione.
Rischi per la protezione dei dati: Le applicazioni di ricarica raccolgono e archiviano dati sensibili dell'utente, come dati sulla posizione e informazioni personali, comprese le informazioni sulla carta di credito. La mancata protezione adeguata di questi dati può portare a violazioni dei dati, furti di identità e frodi
Rischi nella catena di fornitura: La catena di fornitura per le applicazioni di ricarica è complessa e coinvolge più componenti e fornitori. Il mancato controllo e la mancata protezione adeguati di questi componenti e fornitori possono portare a vulnerabilità nelle applicazioni e nell'infrastruttura.
Esempi di attacchi informatici al caricamento delle applicazioni
Le applicazioni in caricamento sono più vulnerabili ad alcuni tipi di attacchi informatici rispetto ad altri tipi di applicazioni. Questi attacchi vengono lanciati abusando delle connessioni API, sfruttando vulnerabilità note relative all'applicazione o tramite piattaforme di terze parti. In alcuni di questi attacchi, gli autori utilizzano sofisticati robot simili a quelli umani in grado di superare i CAPTCHA, tra le altre funzionalità.
Stazioni di ricarica hackerate: Le stazioni di ricarica per veicoli elettrici possono essere hackerate o compromesse per rubare i dati degli utenti o danneggiare i veicoli. Questo può essere fatto modificando il firmware o collegando fisicamente un dispositivo alla stazione di ricarica. Una volta collegata alla rete, una stazione di ricarica fraudolenta può essere utilizzata per ulteriori attacchi.
Frode nella fatturazione: Le applicazioni di addebito in genere includono processi di fatturazione e pagamento. Gli autori malintenzionati sfruttano le vulnerabilità nel processo di fatturazione per commettere frodi lanciando bot per creare sessioni di addebito false o sovraccaricando utenti ignari.
Spoofing della posizione: Lo spoofing della posizione consiste nell'ingannare l'applicazione di caricamento facendo credere erroneamente all'ignaro utente di trovarsi in una posizione diversa. Ciò può essere utilizzato per evitare prezzi basati sulla posizione o per ottenere l'accesso a stazioni di ricarica accessibili solo in determinate località.
Attacchi di negazione del servizio: In un attacco Denial of Service (DoS), l'applicazione di caricamento viene sovraccaricata a causa del traffico sulla rete sottostante. Ciò comporterà che l'applicazione diventi non disponibile o inutilizzabile. Gli attacchi DoS possono interrompere l'infrastruttura di ricarica e/o essere utilizzati per estorcere denaro al fornitore dell'applicazione.
Attacchi ad iniezione: Un attacco injection prevede l'inserimento di script dannosi nei campi di input dell'utente per manipolare il database e accedere a dati sensibili. Il caricamento di applicazioni che utilizzano database per archiviare dati utente o informazioni sulla sessione è vulnerabile agli attacchi di tipo injection.
Attacchi cross-site scripting (XSS): Gli attacchi XSS inseriscono script dannosi nei siti Web visualizzati da altri utenti. Il caricamento di applicazioni che consentono contenuti generati dagli utenti o che hanno campi di input non convalidati correttamente sono vulnerabili agli attacchi XSS.
Attacchi Cross-Site Request Forgery (CSRF): Gli attacchi CSRF inducono gli utenti a eseguire inconsapevolmente azioni per conto di un utente malintenzionato. Potrebbe trattarsi, ad esempio, dell'invio di un modulo o del trasferimento di denaro. Il caricamento di applicazioni che si basano su cookie o token di sessione per autenticare gli utenti è vulnerabile agli attacchi CSRF.
Attacchi SSRF (Server-Side Request Forgery): Un attacco SSRF si verifica quando un utente malintenzionato inganna il server dell'applicazione in caricamento inviando una richiesta dannosa per accedere a una risorsa su un altro server che non deve essere accessibile pubblicamente. In questo modo l’aggressore può aggirare l’autenticazione e ottenere l’accesso non autorizzato a informazioni sensibili o controllare la stazione di ricarica.
Più veicoli significano anche più attacchi
Per proteggere adeguatamente le applicazioni e le infrastrutture di ricarica, gli sviluppatori di applicazioni di ricarica possono adottare varie contromisure. Ciò include la convalida e la sanificazione dell'input, l'applicazione della whitelist delle risorse approvate e la limitazione dell'ambito delle richieste che possono essere effettuate dall'applicazione. Le società di fatturazione dovrebbero anche prendere in considerazione l’implementazione di una serie di strumenti e misure di sicurezza informatica per proteggersi da vari tipi di attacchi informatici alle applicazioni. Questi strumenti includono WAF, gestori di bot, strumenti di protezione API e DDoS, protezione lato client per monitorare le catene di fornitura delle applicazioni, sistemi di rilevamento e prevenzione delle intrusioni, crittografia e controlli degli accessi. Gli strumenti e le misure possono variare a seconda delle esigenze e dei rischi specifici dell'azienda. Le società che addebitano i costi devono inoltre adottare misure proattive e condurre regolarmente test di sicurezza e valutazioni delle vulnerabilità per identificare e correggere le vulnerabilità prima che vengano sfruttate da attori malintenzionati.
Altro su Radware.com
A proposito di Radware Radware (NASDAQ: RDWR) è un leader globale nelle soluzioni di distribuzione delle applicazioni e sicurezza informatica per data center virtuali, cloud e software-defined. Il pluripremiato portafoglio dell'azienda protegge l'infrastruttura IT e le applicazioni critiche dell'intera azienda e ne garantisce la disponibilità. Più di 12.500 clienti aziendali e carrier in tutto il mondo beneficiano delle soluzioni Radware per adattarsi rapidamente agli sviluppi del mercato, mantenere la continuità aziendale e massimizzare la produttività a basso costo.