Especialistas en ciberseguridad reportan el hallazgo de dos vulnerabilidades críticas en dos modelos de cargadores domésticos para autos eléctricos. Acorde al reporte, la explotación de estas fallas permitiría a los atacantes encender o apagar estos dispositivos de forma arbitraria, además de restringir el acceso a sus propietarios legítimos.
Si bien las fallas ya han sido corregidas, es necesario que los propietarios de estos equipos instalen las actualizaciones necesarias para mitigar completamente el riesgo de explotación. Los cargadores afectados por estas fallas, Wallbox y Project EV, fueron aprobados por el Departamento de Transporte británico y al parecer carecen de las medidas de seguridad al emplearse con la aplicación complementaria. Las fallas fueron reportadas por Vangelis Stykas, de Pen Test Partners.
Sobre el dispositivo Wallbox, el investigador menciona que es posible tomar control total del sistema con el fin de bloquear al usuario legítimo de este dispositivo, evitando así que puedan cargar sus vehículos eléctricos. Por otra parte, EV cuenta con una deficiente implementación de back-end, además de un mecanismo de autenticación completamente desfasado, por lo que los actores de amenazas podrían obtener permisos de administrador y cambiar el firmware de estos dispositivos.
Stykas cree que cualquier usuario con mínimos conocimientos sobre estos sistemas podría completar un ataque exitoso: “En realidad no se requieren muchas habilidades para detectar estas fallas y encontrar una forma de explotarlas”, menciona el experto.
El experto también menciona que, en caso de que los dispositivos afectados estuvieran conectados a una red WiFi doméstica, sería posible que los hackers tuvieran acceso a la red vulnerable: “Una vez conectados a la red afectada, podrían enviar tráfico malicioso al usuario objetivo”, menciona el reporte de Pen Test Partner. En otras palabras, los hackers podrían configurar sitios web maliciosos para robar las contraseñas de los usuarios e incluso acceder a sus plataformas de banca en línea, por lo que este es un riesgo que debe ser considerado seriamente.
La firma de ciberseguridad pudo ponerse en contacto con los fabricantes para confirmar que las fallas ya han sido corregidas. La comunidad de la ciberseguridad realizó nuevas pruebas a estas implementaciones, confirmando que los parches lanzados funcionan. Se solicita a todos los usuarios de dispositivos afectados que actualicen a la brevedad con el fin de eliminar las posibilidades de explotación.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
