I problemi di sicurezza trovati in apparecchiature mediche abilitati a Internet e auto negli ultimi anni hanno sollevato un sacco di consapevolezza circa i rischi per la sicurezza pubblica dei dispositivi collegati. Ma non sono solo gli attrezzi salvavita e i veicoli in rapido movimento a causare potenziali danni.
Un gruppo di ricercatori di sicurezza hanno trovato vulnerabilità in autolavaggi drive-through connessi a Internet che avrebbero lasciato gli hacker dirottare in remoto i sistemi per attaccare fisicamente i veicoli e dei loro occupanti. Le vulnerabilità lascerebbero un attaccante aprire e chiudere le porte della baia su un autolavaggio per intrappolare i veicoli all’interno della camera, o colpirli con le porte, danneggiandoli e possibilmente ferendo gli occupanti.
“crediamo che questo sia il primo exploit di un dispositivo collegato che fa sì che il dispositivo fisicamente attaccare qualcuno,” Billy Rios, il fondatore di Whitescope di sicurezza, ha detto Madre. Rios ha condotto la ricerca con Jonathan Butts di QED Secure Solutions. Hanno in programma di discutere le loro scoperte questa settimana alla conferenza di sicurezza Black Hat a Las Vegas.
Rios, lavorando a volte da solo e con i colleghi, ha esposto molti problemi di sicurezza nel corso degli anni nelle pompe per infusione di farmaci che forniscono medicine ai pazienti ospedalieri; nelle macchine a raggi X degli aeroporti progettate per rilevare le armi; e nei sistemi di costruzione che controllano serrature elettroniche, sistemi di allarme, luci, ascensori e telecamere di videosorveglianza.
Un utente malintenzionato può inviare un comando istantaneo per chiudere una o entrambe le porte per intrappolare il veicolo all’interno, o aprire e chiudere una porta ripetutamente per colpire il veicolo un numero di volte quando un conducente tenta di fuggire.
Questa volta si è concentrato sul PDQ LaserWash, un sistema di lavaggio auto completamente automatizzato, senza spazzole e senza contatto che spruzza acqua e cera attraverso un braccio meccanico che si muove attorno a un veicolo. PDQ autolavaggi sono popolari in tutti gli Stati Uniti perché non richiedono assistenti di operare. Molte delle strutture hanno porte a baia all’ingresso e all’uscita che possono essere programmate per aprire e chiudere automaticamente all’inizio e alla fine di una giornata e un menu touchscreen che consente ai conducenti di scegliere il loro pacchetto di pulizia senza interagire con i lavoratori.
I sistemi funzionano su Windows CE e dispongono di un server Web integrato che consente ai tecnici di configurarli e monitorarli su Internet. E qui sta il problema.
Rios dice che è diventato interessato alla macchina lavaggi dopo aver sentito da un amico a proposito di un incidente che si è verificato anni fa, quando i tecnici non configurato correttamente uno in un modo che ha causato il braccio meccanico per colpire un minivan e spegnere la famiglia all’interno con acqua. Il conducente ha danneggiato il veicolo e l’autolavaggio mentre accelerava rapidamente per fuggire.
Un viaggio di successo attraverso l’autolavaggio. I ricercatori non hanno potuto ottenere il permesso di pubblicare video dell’hack dai proprietari di autolavaggio.
Rios e McCorkle hanno esaminato il software PDQ due anni fa e hanno presentato i loro risultati sulle vulnerabilità al Kaspersky Security Summit in Messico nel 2015. Anche se credevano che le vulnerabilità avrebbero permesso loro di dirottare un sistema, non erano in grado di testare la teoria contro un vero e proprio autolavaggio fino a quest’anno, quando una struttura nello stato di Washington ha accettato di collaborare, utilizzando il camioncino dei ricercatori come vittima.
Anche se i sistemi PDQ richiedono un nome utente e una password per accedervi online, la password predefinita è facilmente intuibile, hanno detto i ricercatori. Hanno anche trovato una vulnerabilità nell’implementazione del processo di autenticazione, rendendo possibile aggirarlo. Non tutti i sistemi PDQ sono online, ma i ricercatori hanno trovato più di 150 che erano, utilizzando il motore di ricerca Shodan che cerca i dispositivi connessi a Internet, come webcam, stampanti, sistemi di controllo industriale, e, in questo caso, autolavaggi.
Potrebbero anche manipolare il braccio meccanico per colpire il veicolo o vomitare acqua continuamente, rendendo difficile per un occupante intrappolato uscire dall’auto.
Hanno scritto uno script di attacco completamente automatizzato che ignora l’autenticazione, monitora quando un veicolo si sta preparando ad uscire dalla camera di lavaggio e fa sì che la porta di uscita colpisca il veicolo al momento opportuno. Tutto ciò che un utente malintenzionato deve fare è scegliere l’indirizzo IP per l’autolavaggio che vuole attaccare, quindi avviare lo script. Il software dell’autolavaggio traccia dove un autolavaggio è nel suo ciclo, rendendo più facile sapere quando il lavaggio sta per finire e un veicolo per uscire. Un utente malintenzionato può inviare un comando istantaneo per chiudere una o entrambe le porte per intrappolare il veicolo all’interno, o aprire e chiudere una porta ripetutamente per colpire il veicolo un certo numero di volte come un conducente cerca di fuggire.
Anche se i sensori a infrarossi rilevano quando qualcosa è nel percorso di una porta per evitare che ciò accada, i ricercatori sono stati in grado di causare il sistema di ignorare i sensori. Potrebbero anche manipolare il braccio meccanico per colpire il veicolo o vomitare acqua continuamente, rendendo difficile per un occupante intrappolato uscire dall’auto. Non hanno provato questo durante i loro test dal vivo, tuttavia, per evitare di danneggiare il braccio.
Un meccanismo di sicurezza basato su software impedisce al braccio di colpire un veicolo normalmente, ma sono stati in grado di disabilitare anche questo.
“Se ti affidi esclusivamente alla sicurezza del software, non funzionerà se c’è un exploit in gioco”, ha detto Rios in un’intervista. “L’unica cosa che funzionerà sono i meccanismi di sicurezza dell’hardware.”
Anche se i ricercatori hanno filmato i test con un telefono cellulare, il proprietario dell’autolavaggio non permetterà loro di pubblicare il video.
Questa non è la prima volta che qualcuno ha dirottato un sistema di robotica. A maggio, i ricercatori di Trend Micro hanno mostrato come potrebbero ricalibrare un braccio robotico utilizzato negli impianti di produzione per modificarne il movimento. Ma l’attacco dell’autolavaggio ha “un impatto potenziale più ampio per le masse”, ha detto Rios. “In realtà non ci sono molte cose in che sono nello spazio pubblico can e possono colpirti.”
I ricercatori hanno riferito le loro scoperte al Department of Homeland Security e al venditore e stanno rilasciando un rapporto questa settimana in concomitanza con il loro Black Hat talk.
Un portavoce di PDQ ha detto a Motherboard in una e-mail che è “consapevole” del Black Hat talk e sta lavorando per indagare e risolvere i problemi di sicurezza con il sistema.
“Tutti i sistemi, specialmente quelli connessi a Internet, devono essere configurati pensando alla sicurezza”, ha scritto Gerald Hanrahan di PDQ. “Ciò include garantire che i sistemi siano dietro un firewall di rete e garantire che tutte le password predefinite siano state modificate. Il nostro team di supporto tecnico è pronto a discutere questi problemi con uno qualsiasi dei nostri clienti.”
Ottieni sei delle nostre storie preferite della scheda madre ogni giorno iscrivendoti alla nostra newsletter.
