Mytí Hack Může Udeřit Vozidla, Pasti Cestujících, Uhasit Je S Vodou

bezpečnostní problémy nalezené v internetu-umožnil zdravotnických zařízení a automobilů v posledních letech zvýšil hodně povědomí o veřejné bezpečnosti, rizika připojených zařízení. Potenciální škody však nepředstavují jen záchranné nástroje a rychle se pohybující vozidla.

skupina bezpečnostní výzkumníci našli zranitelnosti v internet-connected drive-through myčky, který by se nechal hackeři na dálku unést systémy fyzicky zaútočit vozidel a jejich obyvatelé. Tyto chyby zabezpečení by nechal útočník, otevřít a zavřít dveře na myčce, aby past vozidla uvnitř komory, nebo zaútočit s dveřmi, jejich poškození a případně zranění cestujících.

Reklama

„Jsme přesvědčeni, že je to první exploit z připojeného zařízení, které způsobí, že zařízení fyzicky někoho napadnout,“ Billy Rios, zakladatel Whitescope bezpečnosti, řekl Desce. Rios provedl výzkum s Jonathanem Buttsem z QED Secure Solutions. Plánují diskutovat o svých zjištěních Tento týden na bezpečnostní konferenci Black Hat v Las Vegas.

Rios, pracují v době, sám a s kolegy, odhalila mnoho bezpečnostních problémů, v průběhu let v lék-infuze čerpadlo, které přinášejí léky pro pacienty; letiště v x-ray stroje určené pro detekci zbraní, a v budování systémů, které ovládání elektronické dveřní zámky, zabezpečovací systémy, osvětlení, výtahy, a video kamery.

útočník může odeslat okamžitý příkaz uzavřít jednu nebo obě dveře, aby pasti uvnitř vozidla, nebo otevřít a zavřít jedny dveře opakovaně udeřit vozidlo několikrát jako řidič snaží uprchnout.

tentokrát se jeho pozornost byla na PDQ LaserWash, plně automatizované, střídavý, touchless car wash systém, který stříká vodu a vosk pomocí mechanické paže, která se pohybuje kolem vozidla. Myčky aut PDQ jsou populární po celých USA, protože nevyžadují obsluhu. Mnoho zařízení mají dveře na vstup a výstup, který může být naprogramován tak, aby automaticky otevřít a zavřít na začátku a na konci dne, a dotykový displej menu, které umožňuje řidiči zvolit jejich čištění balíčku bez interakce s dělníky.

systémy běží na Windows CE a mají vestavěný webový server, který umožňuje technikům konfigurovat a sledovat je přes internet. A v tom spočívá problém.

Reklama

Rios říká, že on stal se zajímat v autě myje poté, co slyšel od kamaráda o nehody, ke kterým došlo před lety, když technici chybně jedním způsobem, který způsobil mechanické rameno udeřit minivan a zaplavila rodinný uvnitř s vodou. Řidič poškodil vozidlo a myčku aut, když rychle zrychlil, aby unikl.

úspěšná cesta přes myčku. Vědci nemohli získat povolení k publikování videa hack od majitelů mytí aut.

Rios a McCorkle zkoumal PDQ software před dvěma lety, a předložila své závěry o zranitelnosti v Kaspersky Security Summit v Mexiku v roce 2015. I když věřili, že chyby by jim umožnil unést systém, nebyli schopni otestovat teorii proti skutečné mytí až do letošního roku, kdy se zařízení ve státě Washington dohodly na spolupráci, a to pomocí výzkumných pracovníků vlastní pickup jako oběť.

přestože systémy PDQ vyžadují pro přístup k nim online uživatelské jméno a heslo, výchozí heslo lze snadno uhodnout, uvedli vědci. Zjistili také zranitelnost při implementaci procesu ověřování, což umožňuje jeho obejití. Ne všechny PDQ systémy jsou on-line, ale vědci zjistili, více než 150, které byly pomocí Shodan vyhledávač, který vyhledá zařízení připojených k internetu, jako jsou webové kamery, tiskárny, průmyslové řídicí systémy, a v tomto případě, auto myje.

také mohou manipulovat s mechanickou ruku, aby hit vozidla nebo chrlit vodu neustále, takže je obtížné pro uvězněné cestující opustit auto.

napsali plně automatizovaný útok skript, který obchází ověřování, monitory, když se vozidlo chystá opustit mytí komory a způsobit východu na stávku vozidla na vhodnou dobu. Vše, co útočník musí udělat, je vybrat IP adresu pro mytí aut, které chtějí zaútočit, a poté spustit skript. Software myčky sleduje, kde je myčka ve svém cyklu,takže je snadné vědět, kdy má mytí skončit a vozidlo vystoupit. Útočník může odeslat okamžitý příkaz uzavřít jednu nebo obě dveře, aby pasti uvnitř vozidla, nebo otevřít a zavřít jedny dveře opakovaně udeřit vozidlo několikrát jako řidič snaží uprchnout.

přestože infračervené senzory detekují, když je něco v cestě dveří, aby se tomu zabránilo, vědci dokázali způsobit, že systém senzory ignoruje. Mohou také manipulovat mechanické rameno, aby hit vozidla nebo chrlit vodu neustále, takže je obtížné pro uvězněné cestující opustit auto. Během svých živých testů to však nezkoušeli, aby nedošlo k poškození paže.

Reklama

software-založené bezpečnostní mechanismus, který brání rameni, bít vozidlo normálně, ale oni byli schopni zakázat to, příliš.

„Pokud spoléháte čistě na bezpečnost softwaru,nebude to fungovat, pokud bude ve hře exploit,“ řekl Rios v rozhovoru. „Jediná věc, která bude fungovat, jsou hardwarové bezpečnostní mechanismy.“

přestože vědci natočili testy mobilním telefonem, majitel myčky jim nedovolí video zveřejnit.

není to poprvé, co někdo unesl robotický systém. V květnu vědci z Trend Micro ukázali, jak mohou rekalibrovat robotické rameno používané ve výrobních závodech ke změně jeho pohybu. Útok na mytí aut má však „širší potenciální dopad na masy“, řekl Rios. „Ve skutečnosti není tolik věcí … které jsou ve veřejném prostoru … a mohou vás zasáhnout.“

vědci oznámili svá zjištění Ministerstvu vnitřní bezpečnosti a prodejci a tento týden zveřejňují zprávu ve spojení s jejich Black Hat talk.

mluvčí PDQ řekl Desce v e-mailu, že je „vědom“ Černý Klobouk mluvit a pracuje na vyšetřování a stanovení bezpečnostní problémy s systému.

„všechny systémy-zejména ty připojené k Internetu-musí být nakonfigurovány s ohledem na bezpečnost,“ napsal Gerald Hanrahan z PDQ. „To zahrnuje zajištění toho, aby systémy byly za síťovou bránou firewall, a zajištění změny všech výchozích hesel. Náš tým technické podpory je připraven diskutovat o těchto otázkách s kterýmkoli z našich zákazníků.“

získejte každý den šest našich oblíbených příběhů o základní desce přihlášením k odběru našeho zpravodaje.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.