Die Sicherheitsprobleme in Internet-fähigen medizinischen Geräten und Autos in den letzten Jahren gefunden haben viel Bewusstsein für die öffentliche Sicherheit Risiken der angeschlossenen Geräte angehoben. Aber es sind nicht nur lebensrettende Geräte und sich schnell bewegende Fahrzeuge, die potenziellen Schaden anrichten.Eine Gruppe von Sicherheitsforschern hat Schwachstellen in mit dem Internet verbundenen Drive-Through-Autowaschanlagen gefunden, die es Hackern ermöglichen würden, die Systeme aus der Ferne zu entführen, um Fahrzeuge und ihre Insassen physisch anzugreifen. Die Sicherheitsanfälligkeiten würden es einem Angreifer ermöglichen, die Schachttüren einer Autowaschanlage zu öffnen und zu schließen, um Fahrzeuge in der Kammer einzufangen, oder sie mit den Türen zu schlagen, sie zu beschädigen und möglicherweise Insassen zu verletzen.
„Wir glauben, dass dies der erste Exploit eines angeschlossenen Geräts ist, der dazu führt, dass das Gerät jemanden physisch angreift“, sagte Billy Rios, der Gründer von Whitescope Security, gegenüber Motherboard. Rios führte die Forschung mit Jonathan Butts von QED Secure Solutions durch. Sie planen, ihre Ergebnisse diese Woche auf der Black Hat Security Conference in Las Vegas zu diskutieren.
Rios, der zeitweise allein und mit Kollegen arbeitete, hat im Laufe der Jahre viele Sicherheitsprobleme bei Medikamenteninfusionspumpen aufgedeckt, die Krankenhauspatienten Medikamente liefern; in Röntgengeräten von Flughäfen, die Waffen erkennen sollen; und in Gebäudesystemen, die elektronische Türschlösser, Alarmsysteme, Lichter, Aufzüge und Videoüberwachungskameras steuern.
Ein Angreifer kann einen sofortigen Befehl senden, eine oder beide Türen zu schließen, um das Fahrzeug im Inneren einzufangen, oder eine Tür wiederholt zu öffnen und zu schließen, um das Fahrzeug mehrmals zu schlagen, während ein Fahrer versucht zu fliehen.
Diesmal lag sein Fokus auf dem PDQ LaserWash, einem vollautomatischen, bürstenlosen, berührungslosen Autowaschsystem, das Wasser und Wachs durch einen mechanischen Arm sprüht, der sich um ein Fahrzeug bewegt. PDQ-Autowaschanlagen sind in den USA beliebt, da für den Betrieb keine Mitarbeiter erforderlich sind. Viele der Einrichtungen verfügen über Erkertüren am Ein- und Ausgang, die so programmiert werden können, dass sie sich zu Beginn und am Ende eines Tages automatisch öffnen und schließen, und ein Touchscreen-Menü, mit dem die Fahrer ihr Reinigungspaket auswählen können, ohne mit den Arbeitern interagieren zu müssen.
Die Systeme werden unter Windows CE ausgeführt und verfügen über einen integrierten Webserver, mit dem Techniker sie über das Internet konfigurieren und überwachen können. Und hier liegt das Problem.
Rios sagt, er habe sich für die Autowaschanlagen interessiert, nachdem er von einem Freund von einem Unfall gehört habe, der sich vor Jahren ereignet habe, als Techniker einen so falsch konfiguriert hätten, dass der mechanische Arm einen Minivan getroffen und die Familie mit Wasser übergossen habe. Der Fahrer beschädigte das Fahrzeug und die Waschanlage, als er schnell beschleunigte, um zu entkommen.
Eine gelungene Fahrt durch die Waschanlage. Die Forscher konnten keine Erlaubnis erhalten, Videos des Hacks von Autowaschbesitzern zu veröffentlichen.
Rios und McCorkle untersuchten die PDQ-Software vor zwei Jahren und präsentierten ihre Ergebnisse zu Schwachstellen auf dem Kaspersky Security Summit in Mexiko im Jahr 2015. Obwohl sie glaubten, dass die Sicherheitslücken es ihnen ermöglichen würden, ein System zu entführen, konnten sie die Theorie erst in diesem Jahr an einer tatsächlichen Autowaschanlage testen, als eine Einrichtung im Bundesstaat Washington der Zusammenarbeit zustimmte und den eigenen Pickup der Forscher als Opfer verwendete.Obwohl die PDQ-Systeme einen Benutzernamen und ein Passwort benötigen, um online auf sie zuzugreifen, ist das Standardpasswort leicht zu erraten, sagten die Forscher. Sie fanden auch eine Sicherheitslücke in der Implementierung des Authentifizierungsprozesses, die es ermöglicht, ihn zu umgehen. Nicht alle PDQ-Systeme sind online, aber die Forscher fanden mehr als 150 davon mithilfe der Shodan-Suchmaschine, die nach mit dem Internet verbundenen Geräten wie Webcams, Druckern, industriellen Steuerungssystemen und in diesem Fall Autowaschanlagen sucht.
Sie könnten auch den mechanischen Arm manipulieren, um das Fahrzeug zu treffen oder kontinuierlich Wasser zu spucken, was es einem eingeschlossenen Insassen erschwert, das Auto zu verlassen.
Sie haben ein vollautomatisches Angriffsskript geschrieben, das die Authentifizierung umgeht, überwacht, wann ein Fahrzeug bereit ist, die Waschkammer zu verlassen, und dazu führt, dass die Ausgangstür zum richtigen Zeitpunkt auf das Fahrzeug trifft. Ein Angreifer muss lediglich die IP-Adresse für die Autowaschanlage auswählen, die er angreifen möchte, und dann das Skript starten. Die Software der Autowaschanlage verfolgt, wo sich eine Autowaschanlage in ihrem Zyklus befindet, und macht es einfach zu wissen, wann die Wäsche endet und ein Fahrzeug aussteigt. Ein Angreifer kann einen sofortigen Befehl senden, eine oder beide Türen zu schließen, um das Fahrzeug im Inneren einzufangen, oder eine Tür wiederholt öffnen und schließen, um das Fahrzeug mehrmals zu schlagen, während ein Fahrer versucht zu fliehen.Obwohl Infrarotsensoren erkennen, wenn sich etwas im Weg einer Tür befindet, um dies zu verhindern, konnten die Forscher das System dazu bringen, die Sensoren zu ignorieren. Sie könnten auch den mechanischen Arm manipulieren, um das Fahrzeug zu treffen oder kontinuierlich Wasser zu spucken, was es einem eingeschlossenen Insassen erschwert, das Auto zu verlassen. Sie haben dies jedoch nicht während ihrer Live-Tests versucht, um eine Beschädigung des Arms zu vermeiden.
Ein softwarebasierter Sicherheitsmechanismus verhindert, dass der Arm normal auf ein Fahrzeug trifft, aber sie konnten dies auch deaktivieren.“Wenn Sie sich ausschließlich auf die Sicherheit von Software verlassen, wird es nicht funktionieren, wenn ein Exploit im Spiel ist“, sagte Rios in einem Interview. „Das einzige, was funktionieren wird, sind Hardware-Sicherheitsmechanismen.“
Obwohl die Forscher die Tests mit einem Mobiltelefon gefilmt haben, lässt der Besitzer der Autowaschanlage das Video nicht veröffentlichen.
Dies ist nicht das erste Mal, dass jemand ein Robotersystem entführt hat. Im Mai zeigten Forscher von Trend Micro, wie sie einen Roboterarm, der in Fertigungsanlagen verwendet wird, neu kalibrieren können, um seine Bewegung zu verändern. Aber der Autowaschangriff hat „breitere potenzielle Auswirkungen auf die Massen“, sagte Rios. „Es gibt eigentlich nicht so viele Dinge … die im öffentlichen Raum sind … und dich treffen können.“Die Forscher berichteten ihre Ergebnisse dem Department of Homeland Security und dem Fbi und veröffentlichen diese Woche einen Bericht in Verbindung mit ihrem Black Hat Talk.Ein Sprecher von PDQ teilte Motherboard in einer E-Mail mit, dass es sich des Black-Hat-Gesprächs „bewusst“ sei und daran arbeite, die Sicherheitsprobleme mit dem System zu untersuchen und zu beheben.
„Alle Systeme — insbesondere mit dem Internet verbundene – müssen unter Berücksichtigung der Sicherheit konfiguriert werden“, schrieb Gerald Hanrahan von PDQ. „Dazu gehört, dass sichergestellt wird, dass sich die Systeme hinter einer Netzwerk-Firewall befinden und dass alle Standardkennwörter geändert wurden. Unser technisches Support-Team steht bereit, um diese Probleme mit jedem unserer Kunden zu besprechen.“
Holen Sie sich jeden Tag sechs unserer Lieblingsgeschichten von Motherboards, indem Sie sich für unseren Newsletter anmelden.