Las estaciones de carga para automóviles EVLink de Schneider eran fácilmente hackeables, gracias a una contraseña codificada

tecnologia 14/01/2019

Schneider ha solucionado tres vulnerabilidades en una de sus estaciones de carga de automóviles eléctricos populares, que según los investigadores de seguridad podrían haber permitido fácilmente que un atacante tomara la unidad de forma remota.

En el peor de los casos, un atacante puede obligar a un vehículo conectado a dejar de cargar, inutilizándolo en un "estado de denegación de servicio", un ataque favorecido por algunos actores de amenazas, ya que es una forma efectiva de obligar a alguien a dejar de funcionar.

Los errores se corrigieron con una actualización de software que se lanzó el 2 de septiembre poco después de que los errores se revelaran por primera vez, y los detalles limitados de los errores se revelaron en un documento de respaldo el 20 de diciembre. Ahora, una imagen más completa de las vulnerabilidades, encontrada por New La firma de seguridad con sede en York Positive Technologies, fue lanzada hoy, casi un mes después.

Las estaciones de carga EVLink de Schneider vienen en todas las formas y tamaños, algunas para la pared del garaje y otras para estaciones de servicio. Son las estaciones de carga en oficinas, hoteles, centros comerciales y garajes de estacionamiento que son vulnerables, dijo Positivo.

En el centro de la divulgación de Positive se encuentran las estaciones de carga eléctrica EVLink Parking de Schneider, uno de los varios productos de carga que Schneider vende, y se comercializa principalmente en complejos de apartamentos, área de estacionamiento privado, oficinas y municipios. Estas estaciones de carga están diseñadas, al igual que otras, para vehículos híbridos totalmente eléctricos y enchufables, incluido Teslas, que tiene su propio conector patentado.

Debido a que la estación de estacionamiento EVLink se puede conectar a la nube de Schneider con conectividad a Internet, ya sea a través de una celda o una conexión de banda ancha, Positive dijo que cualquiera puede acceder a la interfaz de usuario basada en la web en la unidad de carga y enviar comandos fácilmente a la carga. estación – incluso mientras está en uso.

"Un pirata informático puede detener el proceso de carga, cambiar el dispositivo al modo de reserva, lo que lo haría inaccesible para cualquier cliente hasta que se desactive el modo de reserva, e incluso desbloquear el cable durante la carga mediante la manipulación de la escotilla de bloqueo del zócalo, lo que significa que los atacantes podrían aléjate con el cable ”, dijo Positivo.

"Para los conductores de automóviles eléctricos, esto significa no poder usar sus vehículos ya que no se pueden cargar", dijo.

Positive no dijo cuál era la contraseña eliminada desde entonces, pero, dada la curiosidad, preguntamos y actualizaremos cuando recibamos una respuesta.

Los investigadores Vladimir Kononovich y Vyacheslav Moskvin también encontraron otros dos errores que le dan a un atacante acceso total a través de un dispositivo: una falla de inyección de código y una vulnerabilidad de inyección SQL. Ambos fueron arreglados en la misma actualización de software.

Schneider no respondió a una solicitud de comentarios. Si eso cambia, lo actualizaremos.

Informes adicionales: Kirsten Korosec.

Cybersecurity 101: cinco sencillas guías de seguridad para proteger su privacidad

VendeTodito

37 total vistas, 0 hoy

Ahora puede iniciar sesión en una cuenta de Microsoft sin una contraseña con una clave de seguridad

tecnologia 20/11/2018


Ahora puede iniciar sesión en una cuenta de Microsoft sin una contraseña con una clave de seguridad

Microsoft está haciendo que sea más fácil y seguro iniciar sesión en una cuenta de Microsoft hoy. El gigante del software ahora admite dispositivos de clave de seguridad FIDO2 basados ​​en estándares para permitir que cualquier persona inicie sesión en su cuenta de Microsoft sin un nombre de usuario o contraseña. Microsoft está habilitando la clave de seguridad o el soporte de Windows Hello a través de su navegador Edge, y es la primera compañía en admitir la autenticación sin contraseña utilizando los estándares FIDO2 WebAuthn y CTAP2.

Si tiene la última actualización de Windows 10 de octubre de 2018, podrá configurar Windows Hello o una clave de seguridad física de Yubico o FEITIAN que admita el estándar FIDO2. Si tiene un dispositivo con una cámara web de Windows Hello o un lector de huellas digitales, simplemente puede visitar la Cuenta de Microsoft …

Sigue leyendo…

The Verge

72 total vistas, 0 hoy

La cámara con timbre de Ring permitió el acceso de video después de que se cambiara su contraseña – Vende Todito

tecnologia 11/05/2018

Es probable que esto sea un poco negro para Amazon, ya que la compañía busca reforzar su presencia en el espacio de seguridad del hogar. La información informa que, hasta comienzos de este año, una laguna de seguridad permitió a los usuarios seguir viendo un feed desde la cámara del timbre de Ring incluso después de que se cambiara su contraseña.

Ring, que fue comprado por Amazon por $ 1 mil millones a principios de este año, reconoció que solucionó el problema en enero. La actualización llegó después de que un hombre de Miami le dijo a la compañía que su ex había seguido viendo el feed, después de haber actualizado la contraseña. Aún así, la actualización no ocurre de inmediato, reconoció el CEO, Jamie Siminoff, y agregó que expulsar a los usuarios inmediatamente ralentizaría la aplicación, según el sitio.

Ring fue una pieza central de una serie de adquisiciones recientes para Amazon, lo que le permitió a la empresa realizar entregas directamente en los hogares de los clientes y servir como base para las nuevas ofertas de seguridad para el hogar. Si bien la naturaleza hacia afuera de la cámara con timbre es menos intrusiva que aquellos diseñados para sentarse directamente dentro del hogar, este problema indudablemente llevará a muchos usuarios a pensar dos veces antes de introducir un dispositivo conectado a la nube en su hogar.

Me comuniqué con Amazon / Ring para comentar sobre el tema.

Vende Todito

112 total vistas, 0 hoy