RFID-brikker er kanskje den enkleste måten å få i gang hurtiglading for elbilister flest i dag. Så lenge brikken er koblet opp mot brukerprofilen din hos ladeleverandøren, trenger du bare holde brikken mot et angitt felt på ladestasjonen for å identifisere deg. Både ladeoperatørene og interesseorganisasjoner som Elbilforeningen og NAF tilbyr slike.
Men nå slår PwCs etiske hacker og RFID-ekspert Nicolai Grødum alarm om brikkenes sikkerhetsnivå.
Ladeoperatørene bruker kun brikkens serienummer (også kalt UID, Unique Identifier) for å identifisere brukeren. Det får TU bekreftet av ladeoperatørene.
– Det burde vært forbudt å kun bruke serienummeret på RFID-brikken for å identifisere brukeren, sier Grødum.
Han leder PwCs red team. De hacker kunder på oppdrag for å avdekke sårbarheter og sikkerhetshull.
Grødum forteller at serienumrene er svært enkle å klone, noe som gjør brikkene lett å misbruke.
– Du trenger bare stå en halvmeter unna med en god antenne i jakkeermet, så er serienummeret kopiert på et øyeblikk, sier han.
Enkelte av brikketilbyderne har også skrevet utenpå brikkene. Da kan forbipasserende notere ned eller ta bildet av nummeret.
Deretter kan kan man bruke en datamaskin eller klonebrikke til å lade bilen på den originale brikkeeierens regning.
– For enkelt
Grødum har lang erfaring med å teste sikkerheten til forskjellige RFID-brikker, men understreker at han ikke har testet brikkene til ladeleverandørene. Han uttaler seg med bakgrunn i at ladeoperatørene bekrefter at de kun identifiserer brukeren ved hjelp av serienummeret.
Grødum er selv elbilentusiast og sier han liker utviklingen i Norge. Men kan synes løsningen man la seg på fra starten med ubeskyttede RFID-brikker er for enkel og billig, og at det bør legges planer for å legge den bak seg.
Serienummer-identifikasjonen gjelder både for de operatørene som kun tilbyr lading med egne eller samarbeidspartneres ladebrikker, og for dem som tillater at du registrerer deg med hvilken som helst RFID-brikke for å lade. Det får TU bekreftet av operatørene.
Flere av operatørene sier at de bruker et lengre serienummer (syv byte UID) som de mener er vanskeligere å kopiere enn de eldre, kortere versjonene (fire byte UID). Grødum sier imidlertid at det er like enkelt å klone begge disse typene serienumre.
Slik gjøres det
Serienummeret på brikkene er i utgangspunktet ikke mulig å endre, noe TU også fikk erfare da vi testet det i forbindelse med denne saken.
Men en datamaskin kan lese av serienummeret og gi seg ut for å være brikken, forteller Grødum. Datamaskinen kan også legge inn serienumrene på RFID-kort som har det Grødum kaller for kinesisk bakdør. Navnet kommer av at man gjerne får kjøpt slike brikker fra Kina. Dermed vil ladestasjonene tro klonene er de originale brikkene, og la angriperen lade på offerets regning.
Offeret må selv oppdage at noen andre misbruker kontoen, ettersom klonen vil opptre som det originale kortet i ladeoperatørenes systemer.
Grødum forteller at det finnes flere sikkerhetslag som kan legges på brikkene for å vanskeliggjøre misbruk, for eksempel autentisering av innebygde passord (se faktaboks). Det brukes ikke av brikkeutstederne.
– En avveiing mellom sikkerhet og enkelhet
Elbilforeningen var først ute med å tilby en ladebrikke som man kunne bruke på nesten alle ladestasjoner. Nestleder Petter Haugneland sier at ladebrikkene innebærer en avveiing mellom sikkerhet og enkelhet.
– Vi ønsker at lading skal være enklest mulig. Hurtiglading er komplisert nok som det er, sier han.
Videre risikerer man kun å bli svindlet for mindre beløp før ladebrikken kan sperres, sier Haugneland, ettersom angriperen faktisk må lade for beløpet man misbruker.
Det samme sier Joar Brunes, daglig leder i Kople.
– Noen gratis ladeøkter er antakelig ikke verdt innsatsen dette krever, sier han.
Circle Ks sjef for offentlig lading Lars Bjørnå sier at de har valgt å tilby denne løsningen fordi det er industristandard, fordi den er billig og enkel i bruk for kunden. Enkelhet-begrunnelsen går også igjen hos flere av de andre operatørene.
Bjørnå mener likevel ladebrikkene er tilstrekkelig sikkert for kunder, selv om de ikke har noen kryptering eller passord. Han forteller at de har sett svært få tilfeller av feilaktig registrering av ladetransaksjoner. De tror hendelsene skyldes tap og misbruk av ladebrikken fremfor kopiering. I de fleste av disse tilfellene har Circle K da valgt å ta regningen og sperret RFID-en for videre bruk, sier han.
Anbefaler å bruke app fremfor ladebrikke
Nicholai Jørgensen, daglig leder i Mer Norway, sier at de ikke opplever kloning av brikker som et reelt problem. Det samme sier Odd Olaf Askeland, leder for hurtiglading i Eviny. Samtidig sier Askeland at det er sikrere å lade med app, og anbefaler å bruke den.
Circle Ks Bjørnå stemmer i.
– Kunder som ikke ønsker å eksponere seg for denne begrensede usikkerheten med RFID kan selvsagt la være å ta den i bruk, og heller bruke app for å starte og stoppe lading, sier Bjørnå til TU.
Han sier også at de ser på ulike alternativer for betaling, for eksempel kortterminaler og plug&charge.
– Vi vil også tilpasse oss eventuelle endringer i forskrifter og tekniske standarder som måtte komme knyttet til RFID som identifiseringsmulighet, sier han.
Mastercard: Krever normalt to-faktor autentisering
TU har lagt kritikken fram for Visa og Mastercard, ettersom kunden kan koble slike kort til appen som også RFID-kortet er koblet til. Vi har spurt hvordan RFID-sikkerheten harmonerer med egne krav og EU-reguleringer (kalt Payment Services Directive 2, eller PSD2).
Annika Kristersson, kommunikasjonsdirektør i Mastercard, skriver i en e-post til at man ifølge deres egne regler og EUs PSD2-regulering normalt trenger en sterk kundeidentifisering ("strong costumer authentication") for å betale for elbillading med RFID-kort tilkoblet en app.
Sterk kundeidentifisering krever ifølge EUs PSD2-direktiv at man bruker flere faktorer for å identifisere seg (for eksempel noe man har og noe man vet) når man betaler elektronisk.
TU har stilt Kristersson flere oppfølgingsspørsmål, ettersom vi ikke forstår hvordan RFID-brikker kan ivareta kravet til flere faktorer for identifisering. Vi oppdaterer saken så fort vi får svar.
Visa fraskriver seg ansvar
Visa skriver i en e-post at RFID-basert identifikasjonsløsninger for betaling av elbillading ikke er godkjent eller tilbudt av Visa.
– De tilbys av ladeoperatørene for å identifisere kundene og koble betalingsinformasjon til kundeopplysninger, skriver de.
Visa skriver også at de ikke er ansvarlig for vurderingen om RFID-betaling oppfyller kravene til sterk kundeidentifisering.
– Betalingsinformasjonen lenket til RFID-kortet er valgt av kortholderen. Det kan være Visa, men også andre betalingsordninger, skriver Visa i e-posten.
De påpeker også at betalinger initiert med RFID-kort ikke er det samme som Visas kontaktløse kortbetaling, som har standarder for å sikre transaksjonene.