de veiligheidsproblemen die de afgelopen jaren in medische apparatuur en auto ’s met internet zijn geconstateerd, hebben veel mensen bewust gemaakt van de risico’ s voor de openbare veiligheid van Verbonden apparaten. Maar het zijn niet alleen levensreddende werktuigen en snel bewegende voertuigen die potentiële schade veroorzaken.
een groep beveiligingsonderzoekers heeft kwetsbaarheden gevonden in drive-through carwashes met internetverbinding waardoor hackers op afstand de systemen kunnen kapen om voertuigen en hun inzittenden fysiek aan te vallen. De kwetsbaarheden zouden een aanvaller de deuren van een wasstraat laten openen en sluiten om voertuigen in de kamer te vangen, of ze met de deuren te slaan, ze te beschadigen en mogelijk de inzittenden te verwonden.
” We geloven dat dit de eerste exploit is van een aangesloten apparaat dat ervoor zorgt dat het apparaat iemand fysiek aanvalt, ” vertelde Billy Rios, de oprichter van Whitescope security, aan Motherboard. Rios deed het onderzoek met Jonathan Butts van QED Secure Solutions. Ze zijn van plan om hun bevindingen te bespreken deze week op de Black Hat security conferentie in Las Vegas.
Rios, die soms alleen en met collega ’s werkte, heeft in de loop der jaren veel veiligheidsproblemen blootgelegd in infuuspompen die geneesmiddelen leveren aan ziekenhuispatiënten; in röntgenapparaten op luchthavens die ontworpen zijn om wapens te detecteren; en in bouwsystemen die elektronische deursloten, Alarmsystemen, verlichting, liften en videobewakingscamera’ s besturen.
een aanvaller kan een onmiddellijk Commando sturen om één of beide deuren te sluiten om het voertuig binnen te sluiten, of om een deur herhaaldelijk te openen en te sluiten om het voertuig een aantal keren te raken als een bestuurder probeert te vluchten.
Deze keer was zijn focus op de PDQ LaserWash, een volledig geautomatiseerd, borstelloos, touchless autowassysteem dat water en was spuit door een mechanische arm die rond een voertuig beweegt. PDQ car washes zijn populair in de VS, omdat ze niet nodig bedienden te bedienen. Veel van de faciliteiten hebben bay deuren bij de ingang en uitgang die kunnen worden geprogrammeerd om automatisch te openen en te sluiten aan het begin en einde van een dag, en een touchscreen menu dat bestuurders in staat stelt om hun schoonmaakpakket te kiezen zonder interactie met werknemers.
de systemen draaien op Windows CE en hebben een ingebouwde webserver waarmee technici ze via internet kunnen configureren en monitoren. En hierin ligt het probleem.
Rios zegt dat hij geïnteresseerd raakte in de wasstraten nadat hij van een vriend hoorde over een ongeluk dat jaren geleden plaatsvond toen technici er een verkeerd hadden geconfigureerd op een manier die ervoor zorgde dat de mechanische arm een minivan raakte en het gezin erin doofde.met water. De bestuurder beschadigde het voertuig en de wasstraat toen hij snel versnelde om te ontsnappen.
een geslaagde tocht door de wasstraat. Onderzoekers konden geen toestemming krijgen om video van de hack te publiceren van carwash eigenaren.
Rios en McCorkle onderzochten de PDQ-software twee jaar geleden en presenteerden hun bevindingen over kwetsbaarheden op de Kaspersky Security Summit in Mexico in 2015. Hoewel ze geloofden dat de kwetsbaarheden zou hen in staat stellen om een systeem te kapen, ze waren niet in staat om de theorie te testen tegen een werkelijke carwash tot dit jaar, toen een faciliteit in de staat Washington overeengekomen om samen te werken, met behulp van de onderzoekers eigen pick-up truck als het slachtoffer.
hoewel de PDQ-systemen een gebruikersnaam en wachtwoord nodig hebben om ze online te openen, wordt het standaardwachtwoord gemakkelijk geraden, aldus de onderzoekers. Ze vonden ook een kwetsbaarheid in de uitvoering van het authenticatieproces, waardoor het mogelijk is om het te omzeilen. Niet alle PDQ-systemen zijn online, maar de onderzoekers vonden meer dan 150 die waren, met behulp van de Shodan zoekmachine die zoekt naar apparaten die zijn aangesloten op het internet, zoals webcams, printers, industriële controlesystemen, en, in dit geval, autowasstraten.
ze kunnen ook de mechanische arm manipuleren om het voertuig te raken of continu water te spuwen, waardoor het voor een inzittende moeilijk is om uit de auto te stappen.
ze schreven een volledig geautomatiseerd aanvalsscript dat de authenticatie omzeilt, controleert wanneer een voertuig zich klaarmaakt om de wasruimte te verlaten en zorgt ervoor dat de uitgang het voertuig op het juiste moment raakt. Het enige wat een aanvaller hoeft te doen is het IP-adres kiezen voor de wasstraat die ze willen aanvallen, en dan het script starten. De software van de car wash volgt waar een carwash zich in zijn cyclus bevindt, waardoor het gemakkelijk is om te weten wanneer de wash op het punt staat te eindigen en een voertuig te verlaten. Een aanvaller kan een onmiddellijk Commando sturen om een of beide deuren te sluiten om het voertuig binnen te vangen, of om een deur herhaaldelijk te openen en te sluiten om het voertuig een aantal keren te raken als een bestuurder probeert te vluchten.
hoewel infraroodsensoren detecteren wanneer er iets in de weg van een deur staat om dit te voorkomen, konden de onderzoekers ervoor zorgen dat het systeem de sensoren negeert. Ze konden ook de mechanische arm manipuleren om het voertuig te raken of voortdurend water te spuwen, waardoor het moeilijk is voor een inzittende om de auto te verlaten. Ze hebben dit niet geprobeerd tijdens hun live tests, echter, om beschadiging van de arm te voorkomen.
een op software gebaseerd veiligheidsmechanisme voorkomt dat de arm een voertuig normaal raakt, maar ze konden dit ook uitschakelen.
“als je puur vertrouwt op software veiligheid, het gaat niet werken als er een exploit in het spel,” Rios zei in een interview. “Het enige wat gaat werken zijn hardware veiligheidsmechanismen.”
hoewel de onderzoekers de tests met een mobiele telefoon hebben gefilmd, laat de eigenaar van de wasstraat hen de video niet publiceren.
Dit is niet de eerste keer dat iemand een roboticasysteem heeft gekaapt. In mei lieten onderzoekers van Trend Micro zien hoe ze een robotarm die in fabrieken wordt gebruikt, konden herkalibreren om de beweging ervan te veranderen. Maar de car wash aanval heeft “bredere potentiële impact op de massa’ s, ” Rios zei. “Er zijn eigenlijk niet zoveel dingen … die in de openbare ruimte zijn… en je kunnen raken.”
de onderzoekers rapporteerden hun bevindingen aan het Department of Homeland Security en de leverancier en brengen deze week een rapport uit in combinatie met hun black Hat talk.
een woordvoerder van PDQ vertelde Motherboard in een e-mail dat het “op de hoogte” is van de Black Hat talk en werkt aan het onderzoeken en oplossen van de beveiligingsproblemen met het systeem.
“alle systemen—vooral die met internet verbonden-moeten geconfigureerd worden met beveiliging in het achterhoofd,” schreef Gerald Hanrahan van PDQ. “Dit omvat ervoor te zorgen dat de systemen achter een netwerk firewall, en ervoor te zorgen dat alle standaard wachtwoorden zijn gewijzigd. Onze technische support team staat klaar om deze problemen te bespreken met een van onze klanten.”
ontvang elke dag zes van onze favoriete moederbord verhalen door je aan te melden voor onze nieuwsbrief.
