Managed hosting door True

Eset kraakt laadpas elektrische auto via nfc-truc

 

Elektrische auto

Het systeem achter de laadpassen voor elektrische auto’s blijkt fraudegevoelig. Dat toont internetbeveiliger Eset aan door met een simpele truc het unieke id-nummer van de pas te kopiëren.

Om de laadpas te kraken, volstaan een Android-app voor het lezen van de nfc-chip en een Proxmark3 nfc-writer waarvan namaakversies voor enkele tientjes verkrijgbaar zijn in Chinese webshops.

Dave Maasland, directeur Eset Nederland, legt uit dat ze van de theorie uitgingen dat de authenticatie van de laadpassen alleen plaatsvond op basis van een uniek serienummer van de kaart. 'Het blijkt inderdaad erg eenvoudig om met een nfc-lezer dat nummer te achterhalen en te kopiëren.’

In een pdf deelt het beveiligingsbedrijf hoe het stap voor stap te werk is gegaan. De gebruikte middelen zijn een Android-telefoon met de app NFC Taginfo of MIfare Classic Tool. De gebruikte nfc-writers zijn een Proxmark3 die voor 340 euro te koop is, een Proxmark3-kloon uit china (36 euro) en een acr122u-nfc-writer voor 18 euro.

Nadat de unieke identiteitscode van de originele kaart via de nfc-reader is bemachtigd - waarvoor dus wel de kaart van de pashouder moeten worden gescand - wordt de code naar een andere kaart gekopieerd. Dat gaat via een aantal commando’s dat in de pdf wordt gedeeld. Vervolgens is de gekopieerde pas te gebruiken om te betalen bij laadpalen. In een reportage van de NOS is te zien hoe dat gaat.

Probleem is bekend

Bij het Nationaal Kennisplatform Laadinfrastructuur (NKL) zou het probleem al langer bekend zijn. Maar in de afwegingen rondom gebruiksvriendelijkheid - de passen moeten werken bij laadpalen van verschillende aanbieders - zou het platform dat een aanvaardbaar risico vinden, meldt Maasland.

Newmotion, één van de aanbieder van de laadpassen, zegt tegenover de NOS bekend te zijn met het probleem. Volgens het bedrijf is de kans op fraude 'klein' en vindt er controle plaats. Klanten zouden in het geval van fraude niet zelf voor de kosten opdraaien.                                                                 

Fastned, dat laadpalen langs snelwegen aanbiedt, verklaart tegenover de NOS dat de passen ‘niet de best beveiligde techniek’ gebruiken en dat het bedrijf daarom scherp op fraude let. Fraudeurs zijn volgens Fastned bovendien met camerabeelden op te sporen omdat die de stations beveiligen en kentekens registreren. Het bedrijf roept gebruikers van de laadpassen op om regelmatig de betaaloverzichten van laadsessies te controleren op verdachte transacties.

Maasland: ‘Het probleem is dus bekend bij de aanbieders van de passen, maar waarschijnlijk is het niet op korte termijn op te lossen. Dat komt door de infrastructuur van het systeem achter de betaalpassen. Het unieke id-nummer is op dit moment de enige authenticatie van de kaart.’

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/6849537). © Jaarbeurs IT Media.

8,3

 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.