This post is also available in:
English (אנגלית)
ממצאים חדשים מצביעים על סיכוני סייבר משמעותיים במערכת הטעינה לרכבים חשמליים – מערכת המתפתחת במהירות ברחבי העולם. ניתוח טכני עדכני שביצע החוקר ברנדון פרי חשף מספר וקטורי תקיפה שעלולים לאפשר לתוקפים לגנוב נתונים, חשמל ואף לשבש רשתות טעינה שלמות, עקב חולשות בקישוריות בין הרכב למטען.
מקור הפגיעות נעוץ בעובדה שכל פעולת טעינה יוצרת חיבור דיגיטלי בין הרכב לבין המטען. חיבור זה, המבוסס על תקשורת דרך קווי חשמל (PLC), משמש לניהול פרוטוקולים, חיוב והעברת מידע. אולם, הערוץ הדו-כיווני הזה עלול להפוך ליעד למגוון מתקפות סייבר, אם לא יאובטח כראוי.
החוקר הדגים כיצד תוקפים יכולים ליירט ולשנות הודעות בשלב ההתקשרות הראשוני באמצעות מתקפות מסוג "אדם בתווך" (man-in-the-middle). במהלך תהליך זה מועברים נתונים כמו מזהה הרכב הייחודי (EVCCID), מצב הטעינה, ומזהה המטען (EVSEID) – לעיתים בפורמט טקסט פשוט או תוך שימוש בתעודות עצמאיות (self-signed certificates), דבר המקל על זיוף כתובות MAC ועל ניצול מנגנוני חיוב אוטומטי לצורך גניבת אנרגיה.
הניתוח גילה גם שמטענים מסוימים חושפים שירותים פנימיים כמו SSH דרך אותו כבל שבו נעשית הטעינה. תוקף שמדמה חיבור של רכב יכול לבצע מתקפת brute-force על פרטי ההתחברות, ובכך להשיג גישה או שליטה על מערכות פנימיות של המטען.
ברמה הניהולית, מטענים ציבוריים רבים מחוברים למערכות ניהול מרכזיות (CSMS) שמנהלות עדכוני קושחה, יומני עסקאות ואימות משתמשים. המחקר מצא כי שתי מערכות נפוצות- StEVe CSMS ו-CitrineOS – פגיעות למטענים פגומים (malformed payloads) שיכולים לגרום לקריסת המערכת כולה ולמניעת שירות (DoS) רחבה ברשת המחוברת.
ההשלכות אינן מוגבלות לרכב בודד. פריצה למטענים בקנה מידה רחב עלולה לגרום לשיבושים רחבים בתשתיות ציבוריות, במיוחד כאשר מערכות אלו משולבות עם רשתות החשמל המקומיות. מדאיג עוד יותר, גישה פיזית לרוב המטענים אפשרית מבלי לעורר התראות, וכלי דיאגנוסטיקה לממשקי מטען זמינים באופן חופשי.
ממצאים אלה מדגישים את הצורך הדחוף בחיזוק הצפנה, שיפור מנגנוני אימות, והחמרת תקני האבטחה – הפיזיים והרשתיים – במערכות טעינה לרכבים חשמליים, במיוחד לנוכח העלייה המואצת באימוץ רכבים חשמליים ברחבי העולם.
