Um grupo de pesquisadores de segurança descobriu uma falha crítica nos sistemas automáticos de lavagem de carros conectados à Internet. A vulnerabilidade pode ser potencialmente explorada ao seqüestrar remotamente o lava-jato e representar diretamente um risco à saúde e ao bem-estar dos ocupantes do veículo por meio de vários meios de aprisionamento, danos ao veículo ou até mesmo ataques físicos a indivíduos.
Em um mundo tecnológico em constante evolução, lavagens de carros modernas tornaram-se o que estamos acostumados a pensar como “inteligentes” – totalmente automatizados e controlados remotamente. Por mais que a Internet das Coisas e a interconectividade possam ser uma coisa maravilhosa, os sistemas de controle inteligentes conectados à Internet ainda são suscetíveis a uma intrusão remota e, consequentemente, podem ser explorados.
Vulnerabilidades em lava-rápidos de drive-through conectados à Internet
O CEO da Whitescope Security, Billy Rios e o fundador da QED Secure Solutions, Jonathan Butts, conseguiram encontrar vulnerabilidades em lava-rápidos drive-through conectados à Internet. Os lava-rápidos PDQ LaserWash são amplamente populares e acessíveis nos EUA, principalmente porque não exigem pessoal para operar. A lavagem de carros em si é totalmente automatizada e diferente da maioria das lavagens convencionais, não requer escovas nem qualquer contato físico com o veículo. Um braço mecânico opera sem esforço ao redor do veículo pulverizando água e cera. A interface de tela sensível ao toque integrada do lava-jato permite que o cliente interaja com ele e escolha sua opção de limpeza preferida sem nenhuma interação com a equipe. Por outro lado, as portas da baía na entrada e na saída podem ser programadas para abrir e fechar no início e no final de cada dia.
Ignorar Autenticação no Servidor Web Integrado
O que pode surpreender é que o sistema operacional do PDQ LaserWash – no qual os testes foram realizados inicialmente, usa um sistema operacional WindowsCE incorporado que não é mais suportado pela Microsoft. Sistemas operacionais desatualizados e sem suporte são frequentemente favorecidos por hackers que lidam com o problema de sequestro e exploração. A principal falha que os pesquisadores descobriram é um desvio de autenticação dentro do servidor web embutido. Isso, por sua vez, permite o acesso ao painel de controle. Os sistemas PDQ exigem um nome de usuário e senha para acessá-los online, no entanto, os pesquisadores afirmam que a senha padrão pode ser facilmente adivinhada (1234 como é em muitos casos). De longe, nem todas as lavagens funcionam de forma totalmente automática, usando o Buscador Shodan os pesquisadores foram capazes de encontrar mais 150 lavagens de carros online, vulneráveis a seqüestros.
A questão da segurança reside no cerne do problema, o do lava-jato estar conectado diretamente à Internet. A interface baseada na web garante pouca segurança, independentemente da capacidade do proprietário da empresa de operar remotamente o lava-rápido. Se o sequestro for bem sucedido, um hacker pode explorar a vulnerabilidade acima mencionada de várias maneiras, incluindo:
- A capacidade de enviar um comando instantâneo escrevendo um script de ataque totalmente automatizado que ignora a autenticação para fechar uma ou ambas as baias do lava-jato, assim prender o veículo dentro.
- Abra e feche repetidamente uma das baias enquanto o motorista tenta sair, infligir vários golpes no veículo e causar danos no processo.
- Possibilidade de ferir ou ferir os respectivos ocupantes do veículo dentro ou fora do veículo.
- Manipule facilmente o braço mecânico para expelir água continuamente ou para atingir o veículo, tornando cada vez mais difícil para os ocupantes sair do veículo.
Enquanto isso, O ICS-CERT emitiu um aviso consultivo em relação aos sistemas automatizados de lavagem de carros, como LaserWash, LaserJet e ProTouch – todos fabricados pela PDQ, afirmando que todos os três sistemas são suscetíveis a intrusões remotas, exigindo um “baixo nível de habilidade para explorar”. Outros sistemas afetados, dentro e fora dos EUA incluem:
- Todas as versões do ícone ProTouch, ProTouch AutoGlass e ProTouch Tandem.
- Todas as versões do LaserWash AutoXpress e AutoXpress Plus.
- Todas as versões do LaserWash 360 e LaserWash 360 Mais.
- Todas as versões do LaserWash M5.
- Todas as versões do LaserWash G5 e LaserWash G5 S Series.
- Todas as versões do LaserJet.
Não está claro qual será o prazo para a correção antecipada nem o período de duração que estará em desenvolvimento. Até então, donos de lava-jato teriam que ser pacientes, com o ICS-CERT compilando uma lista de recomendações do PDQ para proprietários de lava-rápidos elaborada para ajudá-los a mitigar e limitar as chances de sistemas de lavagem de carros já afetados serem sequestrados e explorados.