Los problemas de seguridad que se encuentran en los equipos médicos y automóviles habilitados para Internet en los últimos años han aumentado la conciencia sobre los riesgos de seguridad pública de los dispositivos conectados. Pero no solo los implementos que salvan vidas y los vehículos de movimiento rápido representan un daño potencial.
Un grupo de investigadores de seguridad ha encontrado vulnerabilidades en lavaderos de autos conectados a Internet que permitirían a los hackers secuestrar remotamente los sistemas para atacar físicamente a los vehículos y a sus ocupantes. Las vulnerabilidades permitirían que un atacante abriera y cerrara las puertas de los muelles de un túnel de lavado para atrapar vehículos dentro de la cámara, o golpearlos con las puertas, dañándolos y posiblemente hiriendo a los ocupantes.
«Creemos que este es el primer exploit de un dispositivo conectado que hace que el dispositivo ataque físicamente a alguien», dijo Billy Ríos, el fundador de Whitescope security, a Motherboard. Ríos llevó a cabo la investigación con Jonathan Butts de QED Secure Solutions. Planean discutir sus hallazgos esta semana en la conferencia de seguridad de Sombrero Negro en Las Vegas.
Ríos, trabajando a veces solo y con colegas, ha expuesto muchos problemas de seguridad a lo largo de los años en bombas de infusión de medicamentos que entregan medicamentos a pacientes de hospitales; en máquinas de rayos X de aeropuertos diseñadas para detectar armas; y en sistemas de edificios que controlan cerraduras electrónicas de puertas, sistemas de alarma, luces, ascensores y cámaras de videovigilancia.
Un atacante puede enviar un comando instantáneo para cerrar una o ambas puertas para atrapar al vehículo dentro, o abrir y cerrar una puerta repetidamente para golpear el vehículo varias veces mientras el conductor intenta huir.
Esta vez se centró en el sistema de lavado láser PDQ, un sistema de lavado de autos totalmente automatizado, sin escobillas y sin contacto que rocía agua y cera a través de un brazo mecánico que se mueve alrededor de un vehículo. Los lavacoches PDQ son populares en todo Estados Unidos porque no requieren que operen los asistentes. Muchas de las instalaciones tienen puertas de acceso en la entrada y salida que se pueden programar para que se abran y cierren automáticamente al comienzo y al final de un día, y un menú con pantalla táctil que permite a los conductores elegir su paquete de limpieza sin interactuar con ningún trabajador.
Los sistemas se ejecutan en Windows CE y tienen un servidor web integrado que permite a los técnicos configurarlos y supervisarlos a través de Internet. Y aquí radica el problema.
Rios dice que él se interesó en el lavado de autos después de escuchar a un amigo acerca de un accidente que ocurrió años atrás, cuando los técnicos de mal configurado de una manera que causó el brazo mecánico de la huelga de una minivan y apagar la familia en el interior con agua. El conductor dañó el vehículo y el lavadero de autos mientras aceleraba rápidamente para escapar.
Un viaje exitoso a través del túnel de lavado. Los investigadores no pudieron obtener permiso para publicar el video del hackeo de los propietarios del lavadero de autos.
Ríos y McCorkle examinaron el software del PDQ hace dos años y presentaron sus hallazgos sobre vulnerabilidades en la Cumbre de Seguridad de Kaspersky en México en 2015. Aunque creían que las vulnerabilidades les permitirían secuestrar un sistema, no pudieron probar la teoría contra un lavado de autos real hasta este año, cuando una instalación en el estado de Washington acordó cooperar, utilizando la propia camioneta de los investigadores como víctima.
Aunque los sistemas PDQ requieren un nombre de usuario y una contraseña para acceder a ellos en línea, la contraseña predeterminada se adivina fácilmente, dijeron los investigadores. También encontraron una vulnerabilidad en la implementación del proceso de autenticación, lo que permite eludirlo. No todos los sistemas del PDQ están en línea, pero los investigadores encontraron más de 150 que lo estaban, utilizando el motor de búsqueda Shodan que busca dispositivos conectados a Internet, como cámaras web, impresoras, sistemas de control industrial y, en este caso, lavaderos de autos.
También podrían manipular el brazo mecánico para golpear el vehículo o arrojar agua continuamente, dificultando que un ocupante atrapado salga del automóvil.
Escribieron un script de ataque totalmente automatizado que omite la autenticación, monitorea cuando un vehículo se prepara para salir de la cámara de lavado y hace que la puerta de salida golpee el vehículo en el momento apropiado. Todo lo que un atacante tiene que hacer es elegir la dirección IP para el túnel de lavado que desea atacar y, a continuación, iniciar el script. El software de lavado de autos rastrea dónde se encuentra un lavado de autos en su ciclo, lo que facilita saber cuándo está a punto de terminar el lavado y cuándo debe salir un vehículo. Un atacante puede enviar una orden instantánea para cerrar una o ambas puertas para atrapar al vehículo dentro, o abrir y cerrar una puerta repetidamente para golpear al vehículo varias veces mientras el conductor intenta huir.
Aunque los sensores infrarrojos detectan cuando algo está en el camino de una puerta para evitar que esto suceda, los investigadores pudieron hacer que el sistema ignorara los sensores. También podían manipular el brazo mecánico para golpear el vehículo o arrojar agua continuamente, lo que dificultaba que un ocupante atrapado saliera del automóvil. Sin embargo, no lo intentaron durante sus pruebas en vivo para evitar dañar el brazo.
Un mecanismo de seguridad basado en software evita que el brazo golpee un vehículo normalmente, pero también pudieron desactivar esto.
«Si se basa exclusivamente en la seguridad del software, no va a funcionar si hay un exploit en juego», dijo Ríos en una entrevista. «Lo único que va a funcionar son los mecanismos de seguridad del hardware.»
Aunque los investigadores filmaron las pruebas con un teléfono móvil, el propietario del lavadero de autos no les permitirá publicar el video.
Esta no es la primera vez que alguien ha secuestrado un sistema robótico. En mayo, investigadores de Trend Micro mostraron cómo podían recalibrar un brazo robótico utilizado en plantas de fabricación para alterar su movimiento. Pero el ataque de lavado de autos tiene «un impacto potencial más amplio para las masas», dijo Ríos. «Realmente no hay muchas cosas que … que están en el espacio público… y puede golpear.»
Los investigadores informaron sus hallazgos al Departamento de Seguridad Nacional y al proveedor y están publicando un informe esta semana junto con su charla de Sombrero Negro.
Un portavoz del PDQ le dijo a Motherboard en un correo electrónico que está «al tanto» de la charla de Black Hat y que está trabajando para investigar y solucionar los problemas de seguridad con el sistema.
«Todos los sistemas, especialmente los conectados a Internet, deben configurarse teniendo en cuenta la seguridad», escribió Gerald Hanrahan de PDQ. «Esto incluye asegurarse de que los sistemas estén detrás de un firewall de red y asegurarse de que se hayan cambiado todas las contraseñas predeterminadas. Nuestro equipo de soporte técnico está listo para discutir estos problemas con cualquiera de nuestros clientes.»
Obtenga seis de nuestras historias favoritas de placas base todos los días al suscribirse a nuestro boletín informativo.
