Het systeem achter de laadpassen voor elektrische auto’s blijkt fraudegevoelig. Dat toont internetbeveiliger Eset aan door met een simpele truc het unieke id-nummer van de pas te kopiëren.
Om de laadpas te kraken, volstaan een Android-app voor het lezen van de nfc-chip en een Proxmark3 nfc-writer waarvan namaakversies voor enkele tientjes verkrijgbaar zijn in Chinese webshops.
Dave Maasland, directeur Eset Nederland, legt uit dat ze van de theorie uitgingen dat de authenticatie van de laadpassen alleen plaatsvond op basis van een uniek serienummer van de kaart. ‘Het blijkt inderdaad erg eenvoudig om met een nfc-lezer dat nummer te achterhalen en te kopiëren.’
In een pdf deelt het beveiligingsbedrijf hoe het stap voor stap te werk is gegaan. De gebruikte middelen zijn een Android-telefoon met de app NFC Taginfo of MIfare Classic Tool. De gebruikte nfc-writers zijn een Proxmark3 die voor 340 euro te koop is, een Proxmark3-kloon uit china (36 euro) en een acr122u-nfc-writer voor 18 euro.
Nadat de unieke identiteitscode van de originele kaart via de nfc-reader is bemachtigd – waarvoor dus wel de kaart van de pashouder moeten worden gescand – wordt de code naar een andere kaart gekopieerd. Dat gaat via een aantal commando’s dat in de pdf wordt gedeeld. Vervolgens is de gekopieerde pas te gebruiken om te betalen bij laadpalen. In een reportage van de NOS is te zien hoe dat gaat.
Probleem is bekend
Bij het Nationaal Kennisplatform Laadinfrastructuur (NKL) zou het probleem al langer bekend zijn. Maar in de afwegingen rondom gebruiksvriendelijkheid – de passen moeten werken bij laadpalen van verschillende aanbieders – zou het platform dat een aanvaardbaar risico vinden, meldt Maasland.
Newmotion, één van de aanbieder van de laadpassen, zegt tegenover de NOS bekend te zijn met het probleem. Volgens het bedrijf is de kans op fraude ‘klein’ en vindt er controle plaats. Klanten zouden in het geval van fraude niet zelf voor de kosten opdraaien.
Fastned, dat laadpalen langs snelwegen aanbiedt, verklaart tegenover de NOS dat de passen ‘niet de best beveiligde techniek’ gebruiken en dat het bedrijf daarom scherp op fraude let. Fraudeurs zijn volgens Fastned bovendien met camerabeelden op te sporen omdat die de stations beveiligen en kentekens registreren. Het bedrijf roept gebruikers van de laadpassen op om regelmatig de betaaloverzichten van laadsessies te controleren op verdachte transacties.
Maasland: ‘Het probleem is dus bekend bij de aanbieders van de passen, maar waarschijnlijk is het niet op korte termijn op te lossen. Dat komt door de infrastructuur van het systeem achter de betaalpassen. Het unieke id-nummer is op dit moment de enige authenticatie van de kaart.’
Dus eigenlijk is er ook een nep-laadpaal benodigd om gebruikers te lokken en de pas te skimmen… Wordt wel erg bewerkelijk voor een paar tientjes elektra…
Dit klinkt als de OV-kaart fraude uit 2009. Met een gemanipuleerde OV-chipkaart kon toen prima worden gereisd. TransLink had de kaart bewust niet geblokkeerd om redenen van gebruikersvriendelijkheid en achtte de pakkans klein. Toch groeide dit uit tot een groot schandaal omdat het geen incident maar een structurele ontwerpfout betrof.
Stapt het NKL 10 jaar later in dezelfde valkuil?…
Nogal gênant. “Omdat wij een ondeugdelijke beveiliging op onze producten hebben zetten we camera’s in om onze klanten te bespioneren.”
Faalhazerij van de bovenste plank.
Quote uit het artikel:
“Bij het Nationaal Kennisplatform Laadinfrastructuur (NKL) zou het probleem al langer bekend zijn. Maar in de afwegingen rondom gebruiksvriendelijkheid – de passen moeten werken bij laadpalen van verschillende aanbieders – zou het platform dat een aanvaardbaar risico vinden, meldt Maasland.”
Ze hebben het echt niet door! Dit is geen aanvaardbaar risico! Dit is een grote ontwerpfout!
Bankpassen moeten overal werken, ook bij andere banken dan je eigen bank. Voor het gebruikersgemak doen we maar even geen strenge controles. Ik pak een lege bankpas, schrijf daar Gerrit Zalm op, loop een ABN AMRO kantoor binnen, en haal zo even een paar duizend euro op, op een fake pas en m’n blauwe ogen. Kun je je dit voorstellen?
Voor iedereen zal dit een absurd scenario lijken, maar voor het NKL is dit normaal. Dit lijkt me willens en wetens te zijn gebeurd. Kunnen we hier aub de verantwoordelijke mensen voor naar de gevangenis sturen? En ze mogen natuurlijk ook betalen voor de (snelle!!!) transitie naar een veilig systeem.
Nog meer redenen om te wachten tot we gewoon waterstof kunnen tanken voor onze auto’s met een brandstofcel…