Un grupo de investigadores de seguridad han descubierto una falla crítica en los sistemas de lavado de coches automáticos que están conectados a Internet. La vulnerabilidad podría potencialmente ser explotada de forma remota mediante el secuestro del tren de lavado y plantear directamente un riesgo para la salud y el bienestar de los ocupantes del vehículo a través de diversos medios de atrapamiento, los daños del vehículo o incluso físicamente individuos de ataque.
En un mundo tecnológico en constante evolución, lavados de automóviles modernos se han convertido en lo que estamos acostumbrados a considerar como “inteligente” - totalmente automatizado y controlado de forma remota. Por mucho que las cosas de Internet-de-la interconectividad y puede ser una cosa maravillosa, sistemas de control inteligentes conectados a Internet son, no obstante, todavía susceptibles a una intrusión a distancia y en consecuencia ser explotados.
Vulnerabilidades en Carwashes drive-through conectado a Internet
El director general de Seguridad Whitescope, Billy Rios y QED Secure Solutions fundador Jonathan Butts fueron capaces de encontrar vulnerabilidades en trenes de lavado de drive-through conectados a Internet. Los trenes de lavado PDQ LaserWash son muy populares y accesibles en todo los EE.UU., principalmente porque no requieren personal para operar. El tren de lavado en sí está totalmente automatizado y diferencia de la mayoría trenes de lavado convencionales, que no requiere cepillos ni ningún contacto físico con el vehículo. Un brazo mecánico opera sin esfuerzo alrededor del vehículo de pulverización de agua y cera. El incorporada en la interfaz de pantalla táctil del tren de lavado permite que el cliente interactúe con él y elegir su opción preferida de limpieza sin ningún tipo de interacciones con el personal. Por otra parte, las puertas de la bodega en la entrada y la salida se pueden programar para abrirse y cerrarse al comienzo y al final de cada día.
Dentro de omisión de autenticación incorporada en el servidor Web
Lo que podría ser una sorpresa es que el sistema operativo del PDQ LaserWash - en el que se realizaron inicialmente las pruebas, utiliza un sistema operativo Windows CE incorporado que ya no es compatible con Microsoft. sistema operativo anticuado y sin apoyo están a menudo favorecida por los hackers que tratan el tema del secuestro y la explotación. El principal defecto que los investigadores han descubierto es una omisión de autenticación en el servidor web incorporado. Esto a su vez permite el acceso al panel de control. PDQ sistemas requieren un nombre de usuario y contraseña para acceder a ellos en línea sin embargo, los investigadores afirman que la contraseña por defecto se puede adivinar fácilmente (1234 como lo es en muchos casos). Con mucho, No todos los trenes de lavado operan sobre una base totalmente automática, utilizando el Shodan motor de búsqueda los investigadores fueron capaces de encontrar más de 150 lavado de carros en línea, vulnerable expuestos a secuestros.
El problema de seguridad reside en el núcleo mismo del problema, la del tren de lavado estando conectado directamente a Internet. La interfaz basada en la web garantiza poca seguridad, independientemente de la posibilidad de que el propietario de la empresa para operar remotamente el lavado de coches. Si el secuestro se realiza correctamente, un pirata informático podría aprovechar la vulnerabilidad mencionado anteriormente de varias maneras incluyendo:
- La capacidad de enviar un comando instantánea escribiendo un guión ataque totalmente automatizado que no pasa la autenticación para cerrar una o ambas bahías del tren de lavado, así interceptar el vehículo en el interior.
- uno repetidamente abrir y cerrar de las bahías como el conductor intenta salir, infligir múltiples golpes sobre el vehículo y causando daños en el proceso de.
- Posibilidad de herir o dañar a los respectivos ocupantes del vehículo tanto en el interior o el exterior del vehículo.
- Fácil manipular el brazo mecánico para vomitar continuamente el agua o para golpear el vehículo, por lo tanto, por lo que es cada vez más difícil para los ocupantes a salir del vehículo.
Mientras tanto, ICS-CERT ha emitido una la advertencia de asesoramiento con respecto a los sistemas de lavado automático como LaserWash, LaserJet y ProTouch - todos fabricados por PDQ, indicando que los tres sistemas son susceptibles a intrusiones remotas, que requiere un “nivel de habilidad baja para explotar”. sistemas más afectados, tanto dentro y por fuera con los EE.UU. incluimos:
- Todas las versiones de ProTouch Icono, ProTouch AutoGlass y ProTouch Tandem.
- Todas las versiones de LaserWash AutoXpress y AutoXpress Plus.
- Todas las versiones de LaserWash 360 y LaserWash 360 Más.
- Todas las versiones de LaserWash M5.
- Todas las versiones de LaserWash G5 y LaserWash G5 S Series.
- Todas las versiones de LaserJet.
No está claro en cuanto a cuál será el plazo para el arreglo anticipado ni el período de duración que será en el desarrollo. Hasta entonces, propietarios de lavado de coches tendrían que ser paciente, con el ICS-CERT haber compilado una lista de las recomendaciones del PDQ para los propietarios de lavado de coches ideados para ayudar a mitigar y limitan las posibilidades de los sistemas de lavado de coches ya afectadas ser secuestrado y explotados.