Un groupe de chercheurs en sécurité ont découvert une faille critique dans les systèmes de lave-auto automatique qui sont connectés à Internet. La vulnérabilité pourrait être exploitée à distance en détournant la station de lavage et pose directement un risque pour la santé et le bien-être de par divers moyens de piégeage des occupants du véhicule, Les dommages ou même des individus d'attaque physique.
Dans un monde technologique en constante évolution, carwashes modernes sont devenus ce que nous sommes habitués à considérer comme « intelligent » - entièrement automatisé et commandé à distance. Autant que l'Internet de-choses et interconnectivité peut être une chose merveilleuse, systèmes de contrôle intelligents connectés à Internet sont néanmoins encore sensibles à une intrusion à distance et par conséquent être exploitées.
Des vulnérabilités dans Autobanque lave-autos connecté à Internet
Le directeur général de la sécurité Whitescope, Billy Rios et QED fondateur Secure Solutions Jonathan Butts ont pu trouver des vulnérabilités dans carwashes drive-travers connectés à Internet. Les lave-autos PDQ LaserWash sont très populaires et accessibles autour des États-Unis, principalement parce qu'ils ne nécessitent pas de personnel pour faire fonctionner. Le lave-auto lui-même est entièrement automatisé et contrairement à la plupart des lave-autos conventionnelles, il ne nécessite pas de brosses ni aucun contact physique avec le véhicule. Un bras mécanique fonctionne sans effort autour de l'eau de pulvérisation et de la cire véhicule. L'interface à écran tactile intégré de la station de lavage permet au client d'interagir avec et choisir leur option de nettoyage préféré sans interactions avec le personnel. D'autre part, les portes vitrées à l'entrée et la sortie peut être programmé pour ouvrir et fermer au début et à la fin de chaque journée.
Contournement de l'authentification Dans intégré Web Server
Ce qui pourrait venir comme une surprise est que le système d'exploitation du PDQ LaserWash - sur lequel les tests ont été effectués au départ, utilise un système d'exploitation embarqué WindowsCE qui n'est plus pris en charge par Microsoft. système d'exploitation et non pris en charge sont Outdated souvent favorisée par des pirates informatiques traitant de la question du détournement et de l'exploitation. Le principal défaut que les chercheurs ont découvert est un by-pass d'authentification dans le serveur Web intégré. Cela permet d'accéder au panneau de contrôle. Les systèmes PDQ ont besoin d'un nom d'utilisateur et mot de passe pour y accéder en ligne cependant, les chercheurs affirment que le mot de passe par défaut peut être facilement deviné (1234 comme il est dans de nombreux cas). De loin, pas tous fonctionnent sur une base carwashes entièrement automatique, en utilisant le moteur de recherche Shodan les chercheurs ont pu trouver plus 150 en ligne carwashes, vulnérablement exposés à piratages.
Le problème de sécurité réside dans le cœur même du problème, celle de la station de lavage étant directement relié à l'Internet. L'interface Web garantit peu de sécurité quelle que soit la capacité pour le propriétaire d'une entreprise pour faire fonctionner à distance la station de lavage. Si le succès est hijack, un pirate pourrait exploiter cette vulnérabilité mentionnée ci-dessus de diverses façons, notamment:
- La possibilité d'envoyer une commande instantanée en écrivant un script d'attaque entièrement automatisé qui contournait l'authentification pour fermer une ou les deux baies de la station de lavage, piéger ainsi le véhicule à l'intérieur.
- un à plusieurs reprises ouvrir et fermer des baies que le conducteur tente de quitter, infligeant de multiples frappes sur le véhicule et causant des dommages dans le procédé.
- Possibilité de blesser ou de blesser les occupants respectives du véhicule à l'intérieur ou à l'extérieur du véhicule.
- manipuler facilement le bras mécanique pour cracher continuellement de l'eau ou de frapper le véhicule, rendant donc plus difficile pour les occupants de sortir du véhicule.
Pendant ce temps, a publié ICS-CERT une avertissement consultatif en ce qui concerne les systèmes automatisés de lavage de voitures comme LaserWash, LaserJet et ProTouch - tous fabriqués par PDQ, indiquant que les trois systèmes sont sensibles aux intrusions à distance, nécessitant un « faible niveau de compétence pour exploiter ». D'autres systèmes touchés, tant à l'intérieur et à l'extérieur avec les États-Unis comprennent:
- Toutes les versions de ProTouch Icône, ProTouch AutoGlass et ProTouch Tandem.
- Toutes les versions de LaserWash AutoXpress et AutoXpress plus.
- Toutes les versions de LaserWash 360 et LaserWash 360 Plus.
- Toutes les versions de LaserWash M5.
- Toutes les versions de LaserWash G5 et G5 LaserWash S Series.
- Toutes les versions de LaserJet.
On ne sait pas à ce que le délai pour la correction anticipée sera ni la période de la longueur, il sera dans le développement. Jusque-là, les propriétaires de stations de lavage devraient rester patient, avec ICS-CERT ayant compilé une liste des recommandations PDQ pour les propriétaires de stations de lavage conçus pour les aider à atténuer et limiter les chances des systèmes de lavage de voitures déjà affectés étant pris en otage et exploités.