セキュリティ研究者のグループが、インターネットに接続されている自動洗車システムに重大な欠陥を発見しました. この脆弱性は、洗車機をリモートでハイジャックすることで悪用される可能性があり、さまざまな閉じ込め手段を通じて車両の乗員の健康と福祉に直接リスクをもたらす可能性があります。, 車両の損傷、さらには個人を物理的に攻撃する.
進化し続けるテクノロジーの世界で, 現代の洗車機は、私たちが「スマート」と考えるのに慣れているものになりました–完全に自動化され、リモート制御されます. モノのインターネットと相互接続性は不思議なことかもしれませんが, それでもなお、インターネットに接続されたスマート制御システムは、リモートからの侵入の影響を受けやすく、その結果、悪用される可能性があります。.
インターネットに接続されたドライブスルー洗車の脆弱性
WhitescopeSecurityのCEO, BillyRiosとQEDSecureSolutionsの創設者であるJonathanButtsは、インターネットに接続されたドライブスルー洗車の脆弱性を見つけることができました。. PDQ LaserWash洗車機は、主にスタッフが操作する必要がないため、米国中で広く普及しており、アクセス可能です。. 洗車自体は完全に自動化されており、ほとんどの従来の洗車とは異なります, ブラシや車両との物理的な接触は必要ありません. メカニカルアームは、水とワックスを噴霧する車両の周りで楽に動作します. 洗車機の内蔵タッチスクリーンインターフェースにより、顧客は洗車機と対話し、スタッフとの対話なしで好みのクリーニングオプションを選択できます. 一方で, 入口と出口のベイドアは、毎日の開始時と終了時に開閉するようにプログラムできます。.
組み込みのWebサーバー内での認証バイパス
驚かれるかもしれないのは、テストが最初に実行されたPDQLaserWashのオペレーティングシステムです。, Microsoftでサポートされなくなった組み込みWindowsCEオペレーティングシステムを使用している. 時代遅れでサポートされていないオペレーティングシステムは、ハイジャックや悪用の問題を扱うハッカーに好まれることがよくあります. 研究者が発見した主な欠陥は、組み込みのWebサーバー内の認証バイパスです。. これにより、コントロールパネルにアクセスできるようになります. ただし、PDQシステムにオンラインでアクセスするには、ユーザー名とパスワードが必要です。, 研究者たちは、デフォルトのパスワードは簡単に推測できると主張しています (1234 多くの場合そうであるように). はるかに, すべての洗車機が完全自動で作動するわけではありません, を使用して Shodan検索エンジン 研究者は見つけることができました 150 オンライン洗車, 脆弱にハイジャックにさらされる.
セキュリティの問題は、問題の核心にあります, インターネットに直接接続されている洗車のそれ. Webベースのインターフェイスは、ビジネスオーナーが洗車機をリモートで操作できるかどうかに関係なく、セキュリティをほとんど保証しません。. ハイジャックが成功した場合, ハッカーは、上記の脆弱性を次のようなさまざまな方法で悪用する可能性があります。:
- 認証をバイパスして洗車機の一方または両方のベイを閉じる完全に自動化された攻撃スクリプトを作成することにより、瞬時にコマンドを送信する機能, したがって、車両を内部に閉じ込めます.
- ドライバーが離れようとするときに、ベイの1つを繰り返し開閉します, 車両に複数のストライキを与え、その過程で損傷を引き起こす.
- 車両の内側または外側の両方で、車両のそれぞれの乗員を負傷または危害を加える可能性.
- メカニカルアームを簡単に操作して、継続的に水を吐いたり、車両に衝突したりできます, したがって、乗員が車両から出るのがますます困難になります.
その間, ICS-CERTは 勧告警告 LaserWashなどの自動洗車システムに関して, LaserJetおよびProTouch–すべてPDQによって製造されています, 3つのシステムすべてがリモート侵入の影響を受けやすいことを述べる, 「悪用するには低いスキルレベル」が必要. さらに影響を受けるシステム, 米国内外の両方が含まれます:
- ProTouchアイコンのすべてのバージョン, ProTouchAutoGlassおよびProTouchタンデム.
- LaserWashAutoXpressおよびAutoXpressPlusのすべてのバージョン.
- LaserWashのすべてのバージョン 360 およびLaserWash 360 プラス.
- LaserWashM5のすべてのバージョン.
- LaserWashG5およびLaserWashG5Sシリーズのすべてのバージョン.
- LaserJetのすべてのバージョン.
予想される修正の時間枠や開発期間については不明です。. それまで, 洗車の所有者は忍耐強くなければならないでしょう, ICS-CERTは、すでに影響を受けている洗車システムがハイジャックされて悪用される可能性を軽減および制限するために考案された洗車所有者向けのPDQの推奨事項のリストをまとめました。.