Bilvask Hacking: Forskere Hijack System Til Attack Vehicles, Medarbejdere

Sikkerhedsforskere opdaget en række sårbarheder i et internetforbundet bilvask system, der kunne sætte chauffører, deres køretøjer og bilvask personale i skade.

Billy Rios og Jonathan Butts, USA-baserede forskere, som opdaget Sårbarhederne fandt fejl i LaserWash, LaserJet og ProTouch bilvasksystemer, der tilbydes af amerikansk bilvask udstyr venter PDQ.

Læse: IoT Security: Næsten halvdelen af ​​virksomhederne oplever overtrædelser på grund af internettet af ting

De bilvaskeanlæg, der sælges af PDQ, som bruges i USA og rundt om i verden, har en indbygget webserver, der gør det muligt for bilvaskerne at kommunikere med og styre maskinen eksternt.

Forskerne opdagede en måde at omgå webserverens loginprocedurer og få uautoriseret adgang til maskinens kontrolpanel. I de fleste tilfælde fandt forskerne dog ikke engang at omgå autentificeringssystemet; de fleste virksomheder forstyrrede ikke at ændre standardadministratoradgangskoden til "12345" og kunne nemt få adgang ved blot at indtaste standardoplysningerne.

Når de først var logget ind på serveren eksternt, fandt forskerne, at de kunne foretage en række ændringer i bilvaskens drift.

De kunne deaktivere sikkerhedsfølere eller skifte dørfølere, der holder bilvaskeporten fra lukning, før en bil er helt ind gennem rammen, så døren kan ramme tagene på biler, når de kører ind eller kommer ned på folk, der står tæt på døren.

Læse: Er Smart Home Devices Safe? Indsamling af indendørs kortlægning af data angiver privatlivets risiko

Forskerne lykkedes også at ændre, hvordan vaskearmen flyttede. De var i stand til at ramme en bil med armen eller endda bruge armen til effektivt at fange en person inde i deres bil ved at blokere dørene på køretøjet med metal bar og vandstrømme.

Angrebene kræver heller ikke manuel kontrol fra en hacker. En ondsindet skuespiller kunne skrive et automatiseret script, der kunne udføre alle kommandoer, uploade det til bilvaskens webserver og få det til at køre hver gang en bil træder i vasken.

Mens sårbarhederne er bekymrende nok på egen hånd, er det endnu mere bekymrende, at forskerne rapporterede sikkerhedssvaghederne til PDQ i januar 2015. Virksomheden tog ingen skridt til at løse problemet i næsten to år.

Det tog en landsdækkende advarsel udstedt til bilvaskere af Industrial Control Systems Cyber ​​Emergency Response Team (ICS-CERT), en statslig organisation, der hjælper virksomheder med at identificere og afhjælpe sikkerhedsproblemer, så PDQ endelig kan fungere.

Når ICS-CERT blev involveret, hjalp virksomheden operatørerne af sit udstyr til at sikre maskinerne ved at ændre standardadgangskoden og oprette en firewall for at beskytte webserveren mod uautoriseret adgang. PDQ lovede også at patch den godkendelsesbypass, der tillod forskerne at få adgang til serveren.

Bilvaskene er bare det sidste eksempel på lax-sikkerheden, der ofte plager internetforbundne enheder. Internet af Things-enheder, der sælges til forbrugere, lider ofte af den samme standardadgangskodefejl, som gør det muligt for alle at let få adgang til enheden.

I mellemtiden har en seneste rapport fandt næsten halvdelen af ​​alle virksomheder i USA, der bruger et internet af Things (IoT) netværk, blevet påvirket af et sikkerhedsbrud, der har skadet årlige indtægter.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.