Hjem > Cyber ​​Nyheder > Hackere kunne kapre og udnytte bilvaskesystemer via kritisk fejl
CYBER NEWS

Hackere Kunne hijack og Exploit Bilvaskesystemer via kritisk fejl

En gruppe af sikkerhedseksperter har opdaget en kritisk fejl i automatiske Bilvaskesystemer, der er forbundet til internettet. Sårbarheden kan potentielt udnyttes ved fjernadgang kapring bilvask og direkte udgør en risiko for sundhed og velvære af køretøjets passagerer gennem forskellige former for fastklemning, skader på køretøjet eller endog fysisk angreb individer.

I et stadigt skiftende teknologiske verden, moderne bilvask er blevet, hvad vi er vant til at tænke på som ”smart” - fuldautomatisk og fjernstyres. Så meget som Internet-of-Ting og sammenkobling kan være en forunderlig ting, intelligente kontrolsystemer forbundet til internettet er ikke desto mindre stadig modtagelige for en fjern indtrængen og dermed udnyttes.

relaterede Story: Et sikkert IoT miljø betyder Secure Life

Sårbarheder i drive-through bilvask forbindelse til internettet

Den administrerende direktør for Whitescope Sikkerhed, Billy Rios og QED Secure Solutions grundlægger Jonathan Butts var i stand til at finde sårbarheder i drive-through bilvask forbundet til internettet. De PDQ LaserWash bilvask er meget populære og tilgængelige omkring USA hovedsageligt fordi de ikke kræver personale til at betjene. Bilvask selv er fuldautomatisk og modsætning til de fleste konventionelle bilvaskeanlæg, det kræver ikke pensler eller nogen fysisk kontakt med køretøjet. En mekanisk arm ubesværet opererer omkring køretøjet sprøjte vand og voks. Den indbyggede touchscreen interface af bilvask giver mulighed for kunden at interagere med den og vælge deres foretrukne rengøring løsning uden interaktion med personale. På den anden side, bugten døre ved indgangen og udgangen kan programmeres til at åbne og lukke i starten og slutningen af ​​hver dag.

Godkendelse Bypass Inden Indbygget webserver

Hvad kan komme som en overraskelse er, at operativsystemet på PDQ LaserWash - hvor testene oprindeligt blev udført, bruger en indlejret WindowsCE operativsystem, der ikke længere understøttes af Microsoft. Forældet og ikke-understøttet operativsystem er ofte begunstiget af hackere, der beskæftiger sig med spørgsmålet om kapring og udnyttelse. Den vigtigste fejl, at forskere har opdaget, er en authentication bypass inden den indbyggede webserver. Dette vil til gengæld giver adgang til kontrolpanel. PDQ systemer kræver et brugernavn og kodeord for at få adgang til dem online dog, forskerne hævder standard password kan nemt at gætte (1234 som det er i mange tilfælde). langt, ikke alle bilvask operere på fuldautomatisk grundlag, ved hjælp af Shodan søgemaskine forskerne var i stand til at finde på 150 bilvask online, sårbar udsat for flykapringer.

Den sikkerhedsproblem bosat i selve kernen af ​​problemet, den for bilvask er direkte forbundet til internettet. Den web-baserede interface garanterer lidt sikkerhed uanset muligheden for virksomhedsejeren til at fjernstyre den bilvask. Hvis hijack lykkes, en hacker kunne udnytte den ovennævnte sårbarhed på forskellige måder, herunder:

  • Evnen til at sende en øjeblikkelig kommando ved at skrive et fuldautomatisk angreb script, der går uden om godkendelse til at lukke enten en eller begge bugter af bilvask, således fælde køretøjet inde.
  • Gentagne gange åbne og lukke en af ​​bugterne som føreren forsøger at forlade, påføre flere markeringer på køretøjet og forårsager skade i processen.
  • Muligheden for at beskadige eller skade de respektive personer i køretøjet både inden eller uden for køretøjet.
  • Nemt manipulere den mekaniske arm til løbende udspy vand eller at ramme køretøjet, dermed gør det stadig vanskeligere for beboerne at forlade køretøjet.
relaterede Story: IoT Termostat Hack Slutter med Ransomware infektion

I mellemtiden, ICS-CERT har udstedt en rådgivende advarsel vedrørende automatiserede bilvaskeanlæg såsom LaserWash, LaserJet og ProTouch - alle fremstillet af PDQ, om, at alle tre systemer er modtagelige for fjerntliggende indtrængen, kræver en ”lavt niveau for at udnytte”. Yderligere berørte systemer, både inden for og ud med USA omfatter:

  • Alle versioner af ProTouch Icon, ProTouch Autoglass og ProTouch Tandem.
  • Alle versioner af LaserWash AutoXpress og AutoXpress Plus.
  • Alle versioner af LaserWash 360 og LaserWash 360 Mere.
  • Alle versioner af LaserWash M5.
  • Alle versioner af LaserWash G5 og LaserWash G5 S-serie.
  • Alle versioner af LaserJet.

Det er uklart, hvad der tidsrammen for den forventede fix bliver heller ikke den periode af længden vil det være i udvikling. Indtil da, Bilvask ejere ville have til at forblive patient, med ICS-CERT har udarbejdet en liste over PDQ anbefalinger til bilvask ejere udtænkt til at hjælpe dem med at afbøde og begrænse mulighederne for allerede påvirket Bilvaskesystemer bliver kapret og udnyttet.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig