Sikkerheten i ladebrikker

Ekspert advarer om sikkerheten i ladebrikker: – Burde vært forbudt

Brikkene bruker kun serienummeret for identifisering. Det gjør dem svært enkle å klone og misbruke, sier eksperten. RFID-brikker innebærer en avveining mellom sikkerhet og enkelhet, sier Norsk elbilforening, som er en av aktørene som tilbyr brikkene.

De aller fleste ladeoperatørene tilbyr ladebrikker som kan benyttes til å betale for lading. Nå advarer ekspert mot brikkenes sikkerhet.
De aller fleste ladeoperatørene tilbyr ladebrikker som kan benyttes til å betale for lading. Nå advarer ekspert mot brikkenes sikkerhet. (Foto: Eirik Helland Urke)

Brikkene bruker kun serienummeret for identifisering. Det gjør dem svært enkle å klone og misbruke, sier eksperten. RFID-brikker innebærer en avveining mellom sikkerhet og enkelhet, sier Norsk elbilforening, som er en av aktørene som tilbyr brikkene.

RFID-brikker er kanskje den enkleste måten å få i gang hurtiglading for elbilister flest i dag. Så lenge brikken er koblet opp mot brukerprofilen din hos ladeleverandøren, trenger du bare holde brikken mot et angitt felt på ladestasjonen for å identifisere deg. Både ladeoperatørene og interesseorganisasjoner som Elbilforeningen og NAF tilbyr slike.

Men nå slår PwCs etiske hacker og RFID-ekspert Nicolai Grødum alarm om brikkenes sikkerhetsnivå.

Ladeoperatørene bruker kun brikkens serienummer (også kalt UID, Unique Identifier) for å identifisere brukeren. Det får TU bekreftet av ladeoperatørene.

– Det burde vært forbudt å kun bruke serienummeret på RFID-brikken for å identifisere brukeren, sier Grødum.

Han leder PwCs red team. De hacker kunder på oppdrag for å avdekke sårbarheter og sikkerhetshull.

Grødum forteller at serienumrene er svært enkle å klone, noe som gjør brikkene lett å misbruke.

– Du trenger bare stå en halvmeter unna med en god antenne i jakkeermet, så er serienummeret kopiert på et øyeblikk, sier han.  

Enkelte av brikketilbyderne har også skrevet utenpå brikkene. Da kan forbipasserende notere ned eller ta bildet av nummeret.

Deretter kan kan man bruke en datamaskin eller klonebrikke til å lade bilen på den originale brikkeeierens regning.

– For enkelt

Les også

Grødum har lang erfaring med å teste sikkerheten til forskjellige RFID-brikker, men understreker at han ikke har testet brikkene til ladeleverandørene. Han uttaler seg med bakgrunn i at ladeoperatørene bekrefter at de kun identifiserer brukeren ved hjelp av serienummeret.

Grødum er selv elbilentusiast og sier han liker utviklingen i Norge. Men kan synes løsningen man la seg på fra starten med ubeskyttede RFID-brikker er for enkel og billig, og at det bør legges planer for å legge den bak seg.

Serienummer-identifikasjonen gjelder både for de operatørene som kun tilbyr lading med egne eller samarbeidspartneres ladebrikker, og for dem som tillater at du registrerer deg med hvilken som helst RFID-brikke for å lade. Det får TU bekreftet av operatørene.

Flere av operatørene sier at de bruker et lengre serienummer (syv byte UID) som de mener er vanskeligere å kopiere enn de eldre, kortere versjonene (fire byte UID). Grødum sier imidlertid at det er like enkelt å klone begge disse typene serienumre.

Slik gjøres det

Serienummeret på brikkene er i utgangspunktet ikke mulig å endre, noe TU også fikk erfare da vi testet det i forbindelse med denne saken.

Men en datamaskin kan lese av serienummeret og gi seg ut for å være brikken, forteller Grødum. Datamaskinen kan også legge inn serienumrene på RFID-kort som har det Grødum kaller for kinesisk bakdør. Navnet kommer av at man gjerne får kjøpt slike brikker fra Kina. Dermed vil ladestasjonene tro klonene er de originale brikkene, og la angriperen lade på offerets regning.

Offeret må selv oppdage at noen andre misbruker kontoen, ettersom klonen vil opptre som det originale kortet i ladeoperatørenes systemer.  

Sikkerhet i RFID-brikker

Man kan innføre flere sikkerhetsmekanismer for å gjøre dem vanskeligere å misbruke, forteller Grødum. Her forklarer Grødum flere ulike nivåer for sikkerhet på RFID:

  • Noen kortlesere kan sjekke om den kinesiske bakdøren finnes på RFID-brikken, og i tilfelle nekte å kommunisere med brikken. Angriperen kan likevel bruke en datamaskin eller et kort som lukker bakdøren etter første skriving av serienummer for å komme rundt denne beskyttelsen, sier Grødum.
  • Neste nivå er å ikke bare bruke serienummeret for å identifisere brukeren, men i tillegg et passord. Brikkene kan lagre disse passordene. Dette kan innebære at kortene må aktiveres ved at en leser skriver inn passordet i brikken. For å knekke et slikt system kan angriperen gjemme noe i nærheten av kortleseren som snapper opp kommunikasjonen, eller utgi seg for å være en kortleser og forsøke å hente ut passordet fra brikken ved å gjette. Det brukes også oftest svært dårlige standardpassord som følger med brikkene, så de pleier å være lett å knekke, forteller Grødum.
  • Neste steg er å legge inn passord på kortene som endrer seg mellom hver gang man låser. Dette gjøres for eksempel på enkelte dørlåser. Det hindrer at noen kloner brikken din uten at du oppdager det, fortsetter Grødum.
  • Så kommer vi til kryptering. Disse kortene koster gjerne en del mer, og brukes for eksempel på skipass. Man kan også ha en begrensning på hvor mange ganger man kan teste krypteringsnøkkelen før kortet låses, eller at hver gjetning må ta en viss tid, slik at man ikke klarer å knekke den så fort, sier Grødum.

Grødum forteller at det finnes flere sikkerhetslag som kan legges på brikkene for å vanskeliggjøre misbruk, for eksempel autentisering av innebygde passord (se faktaboks). Det brukes ikke av brikkeutstederne.

– En avveiing mellom sikkerhet og enkelhet

Elbilforeningen var først ute med å tilby en ladebrikke som man kunne bruke på nesten alle ladestasjoner. Nestleder Petter Haugneland sier at ladebrikkene innebærer en avveiing mellom sikkerhet og enkelhet.

– Vi ønsker at lading skal være enklest mulig. Hurtiglading er komplisert nok som det er, sier han.

Videre risikerer man kun å bli svindlet for mindre beløp før ladebrikken kan sperres, sier Haugneland, ettersom angriperen faktisk må lade for beløpet man misbruker.

Det samme sier Joar Brunes, daglig leder i Kople.

– Noen gratis ladeøkter er antakelig ikke verdt innsatsen dette krever, sier han.

Circle Ks sjef for offentlig lading Lars Bjørnå sier at de har valgt å tilby denne løsningen fordi det er industristandard, fordi den er billig og enkel i bruk for kunden. Enkelhet-begrunnelsen går også igjen hos flere av de andre operatørene.

Bjørnå mener likevel ladebrikkene er tilstrekkelig sikkert for kunder, selv om de ikke har noen kryptering eller passord. Han forteller at de har sett svært få tilfeller av feilaktig registrering av ladetransaksjoner. De tror hendelsene skyldes tap og misbruk av ladebrikken fremfor kopiering. I de fleste av disse tilfellene har Circle K da valgt å ta regningen og sperret RFID-en for videre bruk, sier han.

Anbefaler å bruke app fremfor ladebrikke 

Les også

Nicholai Jørgensen, daglig leder i Mer Norway, sier at de ikke opplever kloning av brikker som et reelt problem. Det samme sier Odd Olaf Askeland, leder for hurtiglading i Eviny. Samtidig sier Askeland at det er sikrere å lade med app, og anbefaler å bruke den.

Circle Ks Bjørnå stemmer i.

– Kunder som ikke ønsker å eksponere seg for denne begrensede usikkerheten med RFID kan selvsagt la være å ta den i bruk, og heller bruke app for å starte og stoppe lading, sier Bjørnå til TU.

Han sier også at de ser på ulike alternativer for betaling, for eksempel kortterminaler og plug&charge.

– Vi vil også tilpasse oss eventuelle endringer i forskrifter og tekniske standarder som måtte komme knyttet til RFID som identifiseringsmulighet, sier han.

Mastercard: Krever normalt to-faktor autentisering

TU har lagt kritikken fram for Visa og Mastercard, ettersom kunden kan koble slike kort til appen som også RFID-kortet er koblet til. Vi har spurt hvordan RFID-sikkerheten harmonerer med egne krav og EU-reguleringer (kalt Payment Services Directive 2, eller PSD2).

Annika Kristersson, kommunikasjonsdirektør i Mastercard, skriver i en e-post til at man ifølge deres egne regler og EUs PSD2-regulering normalt trenger en sterk kundeidentifisering ("strong costumer authentication") for å betale for elbillading med RFID-kort tilkoblet en app. 

Sterk kundeidentifisering krever ifølge EUs PSD2-direktiv at man bruker flere faktorer for å identifisere seg (for eksempel noe man har og noe man vet) når man betaler elektronisk. 

TU har stilt Kristersson flere oppfølgingsspørsmål, ettersom vi ikke forstår hvordan RFID-brikker kan ivareta kravet til flere faktorer for identifisering. Vi oppdaterer saken så fort vi får svar.

Visa fraskriver seg ansvar

Les også

Visa skriver i en e-post at RFID-basert identifikasjonsløsninger for betaling av elbillading ikke er godkjent eller tilbudt av Visa. 

– De tilbys av ladeoperatørene for å identifisere kundene og koble betalingsinformasjon til kundeopplysninger, skriver de. 

Visa skriver også at de ikke er ansvarlig for vurderingen om RFID-betaling oppfyller kravene til sterk kundeidentifisering.

– Betalingsinformasjonen lenket til RFID-kortet er valgt av kortholderen. Det kan være Visa, men også andre betalingsordninger, skriver Visa i e-posten. 

De påpeker også at betalinger initiert med RFID-kort ikke er det samme som Visas kontaktløse kortbetaling, som har standarder for å sikre transaksjonene. 

Les også

Kommentarer (217)

Kommentarer (217)

Eksklusivt for digitale abonnenter

På forsiden nå