Recent onderzoek, uitgevoerd door Alexander van Ee en het in Naarden gevestigde cybersecuritybedrijf Vest, toont aan dat de laadpas infrastructuur voor elektrische auto’s op allerlei manieren te manipuleren is. Vanaf het aanvraagproces voor een pas tot aan het gebruik en betalen voor de dienst gaat het mis. Deze misstanden worden aangetoond in een heldere video die tot stand is gekomen in samenwerking met de onderzoeksafdeling van Vest. In deze video neemt van Ee je stap voor stap mee in zijn bevindingen.
Aanvragen van een laadpas
Het aanvragen van een laadpas is eenvoudig via websites te realiseren, laat Van Ee in de video zien. ‘En controle op juistheid van gegevens is er niet, zo heb ik verschillende keren een bankrekeningnummer gebruikt dat helemaal niet van de aanvrager was.’
Activeren van de pas
Hoewel je de pas volgens de begeleidende brief moet activeren, blijkt dat dat niet echt noodzakelijk is. Bij een aantal van de aangevraagde passen kan de auto worden opgeladen zonder dat de pas daadwerkelijk geactiveerd is.
Kopiëren van een laadpas
De beveiliging op de kleine chip in de laadpassen is minimaal. Kopiëren van een bestaande pas blijkt relatief eenvoudig. Daarbij wordt er geen gebruik gemaakt van de op de chip wel aanwezige beveiligingsmogelijkheden.
Brute force aanval
Het op basis van statistiek en het daarmee slim genereren van pasnummers levert pasnummers op die, na deze gekoppeld te hebben aan herschrijfbare passen, gewoon gebruikt kunnen worden. ‘Het kan maar zo zijn dat iemand in bijvoorbeeld Portugal ineens op zijn factuur ziet dat hij een laadsessie had in een willekeurig stadje in Nederland’ grapt van Ee in de video. De reeks gebruikte pasnummers is dusdanig klein, dat bij een brute force aanval relatief snel een bruikbaar pasnummer gevonden kan worden.
Druppelladen
In de laatste test wordt er gecheckt vanaf welk moment de gebruiker gaat betalen. Dat blijkt na een minuut laden te zijn. Ook hierop heeft een beetje handige ICT-er een antwoord en kon de auto relatief eenvoudig worden ‘volgedruppeld’.
Laadpassen en infrastructuur
De circa 20 steekproeven heeft getoond dat voor de passen zelf eenzelfde pasfabrikant en type wordt gebruikt en dat deze op een zelfde eenvoudige wijze zijn toegepast binnen de laadpas infrastructuur. Verschillen zijn er in de wijze waarop een pas aangevraagd wordt en de houder (op minimale basis) wordt geverifieerd. De geconstateerde gebreken om het betalen van elektrisch laden minder fraudegevoelig te maken lijkt een collectieve tekortkoming. Om die reden wordt de aandacht gevraagd om dit ook collectief naar een voor de consument betrouwbaarder niveau te brengen.
Al eerder is door anderen aangetoond dat er tekortkomingen in het proces en de toegepaste laadpas infrastructuur van elektrisch laden zijn. Hoever die onderzoeken gegaan zijn en met wie de resultaten precies zijn gedeeld is ons niet bekend.
Zowel Vest als Alexander van Ee hebben geen enkel belang en deden dit onderzoek niet in opdracht, maar uit interesse. Het adresseren van de problemen en bijdragen aan de oplossing, om misbruik te voorkomen is het doel. Niemand mag het risico lopen onnodig gedupeerd te worden.
Video is te vinden op:
https://youtu.be/i3vwEqpZl8U
Over Vest
Vest is in 2002 opgericht door Marc Hullegie. Het bedrijf uit Naarden biedt diensten aan op het gebied van cyberveiligheid en heeft veel ervaren specialisten in huis om hun opdrachtgevers te helpen met hun doelstellingen op het gebied van cybersecurity. Binnen de afdeling VIA van Vest wordt op dagelijkse basis security ontwikkelingen omgezet in intelligence. Dit team behandelt vragen van klanten en voert eigen onderzoek uit. Op deze manier beperken we risico’s die onze klant vaak nog niet zag.
Voor meer informatie: Kees van der Westen, directeur, 06-29389719
office@vest.nl