Eine Gruppe von Sicherheitsexperten hat einen kritischen Fehler im automatischen Autowaschanlagen entdeckt, die mit dem Internet verbunden sind. Die Sicherheitsanfälligkeit kann möglicherweise durch remote ausgenutzt werden, um die Fahrzeugwäsche Hijacking und direkt eine Gefahr für die Gesundheit darstellen und das Wohlbefinden der Insassen des Fahrzeugs durch verschiedene Mittel des Einschlusses, Fahrzeugschäden oder sogar körperlich Individuen Angriff.
In einem sich ständig weiterentwickelnden technologischen Welt, moderne Autowaschanlagen haben werden, was wir als „smart“ zu denken gewohnt sind - voll automatisiert und ferngesteuert. So viel wie die Internet-of-Things und Vernetzung kann eine wunderbare Sache sein, intelligente Steuerungssysteme mit dem Internet verbunden sind dennoch nach wie vor anfällig für eine Remote-Intrusion und somit genutzt werden,.
Schwachstellen in Drive-Through Autowaschanlagen mit dem Internet verbunden
Der CEO von Whitescope Sicherheit, Billy Rios und QED Gründer Sichere Lösungen Jonathan Butts konnten mit dem Internet verbunden Schwachstellen in Drive-Through-Autowäschen finden. Die PDQ LaserWash Autowaschanlagen sind sehr populär und zugänglich rund um die USA vor allem, weil sie nicht verlangen, Personal zu bedienen. Die Autowaschanlage selbst wird vollautomatisch und im Gegensatz zu den meisten herkömmlichen Autowaschanlagen, es erfordert keine Bürsten noch jeden körperlichen Kontakt mit dem Fahrzeug. Ein mechanischer Arm arbeitet mühelos um das Fahrzeug Wasser und Wachs Versprühen. Die integrierten Touchscreen-Schnittstelle des carwash ermöglicht dem Kunden mit ihr zu interagieren und ohne Interaktionen mit Mitarbeitern ihre bevorzugten Reinigungs Option wählen. Andererseits, die Schachttüren am Eingang und Ausgang können am Anfang und Ende eines jeden Tages zu öffnen und zu schließen programmiert werden.
Authentication Bypass Innerhalb Built-In Web Server
Was könnte eine Überraschung sein, dass das Betriebssystem des PDQ LaserWash - auf dem die Tests durchgeführt zunächst, verwendet ein eingebettetes WindowsCE Betriebssystem, das von Microsoft nicht mehr unterstützt wird. Veralte und nicht unterstütztes Betriebssystem wird häufig von Hackern begünstigt mit der Frage der Entführung zu tun und Ausbeutung. Die Hauptfehler, die haben Forscher entdeckt, ist ein Authentifizierungs Bypass innerhalb des integrierten Web-Server. Dies wiederum ermöglicht den Zugriff auf Systemsteuerung. PDQ-Systeme benötigen einen Benutzernamen und ein Passwort sie online zugreifen jedoch, die Forscher behaupten, kann das Standard-Passwort leicht erraten werden (1234 wie es in vielen Fällen). Bei weitem, nicht arbeiten alle Autowaschanlagen auf vollautomatischen Basis, Verwendung der Shodan Suchmaschine die Forscher waren in der Lage, finden über 150 Autowäschen Online, vulnerably zu Entführungen ausgesetzt.
Die Sicherheitslücke beruht auf dem Kern des Problems, dass die Autowaschanlage direkt mit dem Internet verbunden sind. Die webbasierte Schnittstelle garantiert wenig Sicherheit unabhängig von der Fähigkeit für die Unternehmer aus der Ferne die Waschanlage arbeiten. Wenn der Hijack erfolgreich, ein Hacker konnte die oben genannten Schwachstellen auf verschiedene Weise ausnutzen einschließlich:
- Die Fähigkeit, einen momentanen Befehl zu senden, indem ein vollständig automatisiertes Angriff Skript zu schreiben, die eine Authentifizierung umgeht entweder eine oder beiden Buchten der Autowaschanlage zu schließen, somit Falle der Fahrzeuginnen.
- Immer wieder öffnen und schließen sich einer der Buchten wie der Fahrer versucht, zu verlassen, mehrere Schläge auf das Fahrzeug zuzufügen und verursachen Schäden in den Prozess.
- Möglichkeit der Verletzung oder die jeweiligen Insassen des Fahrzeugs zu schaden sowohl innerhalb oder außerhalb des Fahrzeugs.
- Leicht den mechanischen Arm manipulieren, um kontinuierlich Wasser zu spucken oder das Fahrzeug zu treffen, wodurch es immer schwieriger für die Insassen das Fahrzeug verlassen.
In der Zwischenzeit, ICS-CERT ausgestellt ein Beratungswarnung in Bezug auf automatisierte Autowaschanlagen wie LaserWash, LaserJet und ProTouch - alle von PDQ hergestellt, die besagt, dass alle drei Systeme auf Remote-Intrusionen anfällig sind, ein erfordern „niedriges Qualifikationsniveau zu nutzen“. Weitere betroffene Systeme, sowohl innerhalb als auch außerhalb mit den USA schließen:
- Alle Versionen von ProTouch Icon, ProTouch Autoglass und ProTouch Tandem.
- Alle Versionen von LaserWash Autoxpress und Autoxpress Plus-.
- Alle Versionen von LaserWash 360 und LaserWash 360 Mehr.
- Alle Versionen von LaserWash M5.
- Alle Versionen von LaserWash G5 und LaserWash G5 S-Serie.
- Alle Versionen von LaserJet.
Es ist unklar, was der Zeitrahmen für die erwartete Korrektur wird noch die Zeit der Länge wird es in der Entwicklung sein. Bis dahin, carwash Besitzer müssten Patienten bleiben, mit ICS-CERT eine Liste von PDQ Empfehlungen für carwash Besitzer sie zu mildern und begrenzen die Chancen der bereits betroffenen carwash Systeme werden entführt und ausgebeutet zu helfen entwickelt zusammengestellt haben.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: