Kamuya açık EV şarj cihazları, paylaşımlı e‑bisikletler ve kiralık e‑scooter’lar ortak bir sorunu paylaşıyor: Hepsi uygulama üzerinden yönetilen, sahada sahipsiz duran IoT cihazları. Black Hat Asia 2026’da Tsinghua Üniversitesi’nden güvenlik araştırmacısı Hetian Shi, bu yapının zayıf noktalarını kullanarak bir şehrin tamamındaki şarj noktalarını tek seferde devre dışı bırakmanın mümkün olabileceğini yaptığı canlı gösterimle anlattı. Shi, bazı sistemlerin ürün yazılımlarında paylaşılan kimlik anahtarları buldu; arka uç servislerinde yetersiz kimlik doğrulama ve uygulamalarda sahte istemcileri gerçek kullanıcılardan ayırt edemeyen açıklar tespit etti. Hazırladığı “IDScope” aracıyla Çinli bir sağlayıcının iOS uygulamasında halka açık bir şarj noktasını birkaç saniyede “kullanılamaz” duruma çekmeyi de sahnede gösterdi. Ayrıca Avrupa’daki 11 paylaşımlı mikromobilite uygulamasında benzer zayıflıklar buldu. Bu açıklar, “kullanım kolaylığı” uğruna güvenliğin ihmal edildiğini gösteriyor.
Akademik çalışmalar da riskin kapsamını destekliyor. EV şarj ekosistemindeki mobil uygulamalar üzerinden koordineli uzaktan başlatma/durdurma saldırılarının mümkün olduğunu gösteren analizler var; bu tür saldırılar şebeke tarafında da etkiler yaratabiliyor. 2026 başında yayımlanan başka bir çalışma ise CCS üzerinden gerçek dünyada kablosuz ortadaki adam saldırılarıyla kısa süreli aşırı akım oluşturulabildiğini deneysel olarak kanıtladı.
Altyapı tarafındaki zayıflıklar yalnızca uygulamalardan ibaret değil. Kamuya açık DC istasyonlarının saha ölçümüne dayanan bir araştırma, TLS/PKI uygulamasındaki eksikler ve protokol sürümlerindeki dağınıklığın saldırı yüzeyini büyüttüğünü ortaya koydu. Güvensiz firmware, açık bırakılmış UART/hata ayıklama portları ve ortak kimlik bilgileri gibi klasik IoT hataları burada da karşımıza çıkıyor.
Operatörler ne yapmalı?
- Her cihaza özgü, donanımsal olarak korunmuş kimlik bilgileri kullanın; paylaşılan anahtarları bırakın. Debug/UART portlarını kapatın; firmware’i imzalayıp güvenli açılış zinciri kurun.
- Uygulama ve arka uçta güçlü kimlik doğrulama ve yetkilendirme uygulayın; sahte istemci ve toplu istekleri sınırlamak için hız kısıtlaması ve anomali tespitini devreye alın.
- OCPP ve ISO 15118 için karşılıklı TLS’i doğru sertifika yönetimiyle yaygınlaştırın; eski ve zayıf yapılandırmaları kademeli kapatın.
- Düzenli sızma testleri, hata ödül programları ve olay müdahale tatbikatları yapın; günlükleme ve izlemeyi standartlaştırın.
Bu önlemler yalnızca ücretsiz kullanım veya fiyat manipülasyonunu değil, aynı zamanda şehir ölçeğinde hizmet dışı kalma riskini de azaltır. Yarışın hızı yüksek, ancak güvenliğe ayrılan mesai ve bütçe artmadıkça bu cihazlar saldırganlar için kolay hedef olmaya devam edecek.
Kaynak: www.techspot.com
