Las vulnerabilidades de seguridad en la infraestructura de Internet de las Cosas (IoT) de «alquiler» podrían permitir que atacantes desactiven de forma remota redes enteras de cargadores públicos para vehículos eléctricos (VE). Este riesgo fue demostrado por el investigador Hetian Shi durante una presentación en la conferencia Black Hat Asia.
Shi, investigador de seguridad de hardware e IoT en la Universidad Tsinghua de China, presentó sus hallazgos el viernes. Sostuvo que los desarrolladores de servicios compartidos, como las bicicletas eléctricas y los cargadores de VE, están priorizando la comodidad del usuario por encima de los protocolos de seguridad esenciales.
Shi señaló que la naturaleza de los servicios de IoT de alquiler crea un riesgo de seguridad único. Debido a que cualquier usuario puede acceder y examinar los dispositivos físicos, los atacantes pueden estudiarlos fácilmente en busca de vulnerabilidades.
Su investigación reveló que muchos dispositivos incluyen puertos de depuración o conectores UART accesibles. Estas características de hardware facilitan que los atacantes estudien el funcionamiento del dispositivo y extraigan información.
Shi encontró claves de autenticación compartidas integradas en el firmware de los dispositivos. Además, identificó servicios de backend que no verifican adecuadamente la identidad de los usuarios durante el proceso de conexión.
Más allá de los fallos de hardware, Shi identificó debilidades críticas en las aplicaciones móviles utilizadas para acceder a estos servicios. Demostró que los atacantes podrían crear «clientes fantasma» que los sistemas de backend no pueden distinguir de los clientes legítimos.
Este fallo permite que los atacantes carguen vehículos eléctricos o alquilen patinetes eléctricos sin coste alguno. Shi también señaló que estas vulnerabilidades se extienden a los servicios de backend, lo que podría exponer potencialmente la información personal de los usuarios del servicio.
Para probar la vulnerabilidad, Shi utilizó una herramienta personalizada llamada «IDScope» durante su presentación. Se centró en cargadores específicos en la Plaza del Pueblo de Shanghái, utilizando la aplicación iOS de un proveedor chino de carga de vehículos eléctricos.
Al introducir un ID de cargador específico en un script, Shi logró ejecutar un comando remoto. Este comando cambió el estado del cargador en la aplicación de verde (disponible) a gris (desactivado).
Aunque Shi realizó sus pruebas con permiso y divulgó los resultados de manera ética, los hallazgos sugieren que las vulnerabilidades encontradas en la infraestructura china son probablemente aplicables en otros lugares. La demostración del comando de desactivación remota provocó aplausos espontáneos entre la audiencia de la conferencia.
