Laadpassen voor elektrische auto’s zijn fraudegevoelig, waardoor het mogelijk is om op kosten van iemand anders de auto op te laden, zo laat cybersecuritybedrijf Vest vandaag op basis van eigen onderzoek weten. Vanaf het aanvraagproces voor een pas tot aan het gebruik en betalen voor de dienst gaat het mis, aldus onderzoeker Alexander van Ee.

Een laadpas voor een elektrische auto is online aan te vragen. "En controle op juistheid van gegevens is er niet, zo heb ik verschillende keren een bankrekeningnummer gebruikt dat helemaal niet van de aanvrager was", aldus Van Ee. Zo vroeg de onderzoeker een pas aan op naam van Mark Rutte met daarbij het rekeningnummer van de Belastingdienst. "Dat zou natuurlijk absoluut niet de bedoeling moeten zijn."

Volgens de verstrekker van de laadpas moet die eerst worden geactiveerd voordat die te gebruiken is, maar dat blijkt niet echt noodzakelijk. Bij een aantal van de aangevraagde passen kan de auto worden opgeladen zonder dat de pas daadwerkelijk geactiveerd is.

Verder blijkt dat de beveiliging van de chip op de laadpassen minimaal is. Kopiëren van een bestaande pas is relatief eenvoudig. De op de chip wel aanwezige beveiligingsmogelijkheden worden namelijk niet gebruikt.

Het blijkt ook eenvoudig om pasnummer te achterhalen, die daarna te koppelen zijn aan herschrijfbare passen en vervolgens te gebruiken. De reeks gebruikte pasnummers is dusdanig klein, dat bij een bruteforce-aanval relatief snel een bruikbaar pasnummer is te vinden.

De onderzoeker ontdekte ook dat het mogelijk is om elektrische auto's gratis op te laden door middel van 'druppelladen'. Gebruikers gaan namelijk pas na een minuut laden betalen. Door middel van een apparaatje zoals de Flipper Zero is het mogelijk om korte oplaadsessies van een minuut te automatiseren en zo de auto 'vol te druppelen'.

"De geconstateerde gebreken om het betalen van elektrisch laden minder fraudegevoelig te maken lijkt een collectieve tekortkoming. Om die reden wordt de aandacht gevraagd om dit ook collectief naar een voor de consument betrouwbaarder niveau te brengen", stelt het cybersecuritybedrijf. Dat stelt dat het oplossen en voorkomen van misbruik van de aangetoonde problemen het doel is. "Niemand mag het risico lopen onnodig gedupeerd te worden."

Alles bij de bron; Security