Дослідники виявили серйозну вразливість у зарядному пристрої для електромобілів Autel MaxiCharger під час змагання Pwn2Own Automotive 2024 у Токіо. Використовуючи Bluetooth, хакери можуть отримати повний контроль над пристроєм без необхідності введення паролю чи PIN-коду.
Команда дослідників із Computest’s Sector 7 під час конкурсу Pwn2Own виявила, що зарядний пристрій для електромобілів Autel MaxiCharger вразливий до кібератак через Bluetooth-з’єднання. Вразливість, отримавша CVE-2024-23958, дозволяє хакерам обходити механізми автентифікації пристрою та отримувати доступ до його ключових функцій. Крім того, були виявлені інші вразливості, такі як переповнення буфера (CVE-2024-23959 і CVE-2024-23967), що відкриває можливість для повного контролю над зарядним пристроєм. Зловмисники можуть змінювати параметри зарядки або навіть повністю відключати пристрій.
Дослідники також змогли отримати доступ до прошивки пристрою, розшифрувавши посилання для її завантаження. Всередині прошивки був виявлений код, який дозволяє повністю обійти автентифікацію через Bluetooth. Після виявлення вразливостей компанія Autel швидко випустила патчі, проте дослідники закликають до регулярних оновлень прошивки та ретельної перевірки безпеки подібних пристроїв.
Під час змагання Pwn2Own Automotive 2024 дослідники виявили серйозні вразливості в електромобільному зарядному пристрої Autel MaxiCharger. Ця вразливість дозволяє зловмисникам отримати повний контроль над пристроєм через Bluetooth, що створює загрозу для власників електромобілів.
Вразливість Autel MaxiCharger підкреслює важливість забезпечення кібербезпеки зарядної інфраструктури для електромобілів. Регулярне оновлення прошивки та ретельна перевірка безпеки є необхідними кроками для захисту від потенційних загроз.