Исследователи обнаружили уязвимости в бесконтактной моющей системе, позволяющие удаленно взломать систему и совершить физическую атаку на машину.
За последние несколько лет уязвимости в подключенных к интернету медицинском оборудовании и автомобилях привлекли немало внимания к потенциальной угрозе для общественной безопасности, которую представляют подключенные устройства. Однако нанести вред могут не только «спасательный инвентарь» и высокоскоростной транспорт, но и роботизированные автомойки.
Исследователи в области безопасности Билли Райос (Billy Rios) и Джонатан Баттс (Jonathan Butts) обнаружили ряд уязвимостей в бесконтактных моющих системах для легковых автомобилей, позволяющих удаленно взломать систему и совершить физическую атаку на машину и находящихся в ней людей. В частности, проэксплуатировав проблемы, хакеры могут открывать и закрывать двери отсеков, чтобы предотвратить выезд авто из помещения автомойки, или ударять дверьми по машинам, повреждая их и травмируя водителя и пассажиров.
Внимание экспертов привлекла автоматизированная моющая система PDQ LaserWash. Такие мойки весьма популярны в США, поскольку для их работы не требуется обслуживающий персонал. На большинстве моек имеются двери, которые можно запрограммировать так, чтобы они автоматически открывались и закрывались в начале и в конце дня, а также сенсорная панель, с помощью которой водители могут выбрать пакет услуг. Система работает под управлением Windows CE и включает встроенный web-сервер, позволяющий операторам удаленно настраивать систему и следить за ее работой.
По словам исследователей, для доступа к системе PDQ требуются учетные данные, однако установленные по умолчанию логин и пароль несложно угадать. Кроме того, они выявили уязвимость в реализации механизма аутентификации, позволяющую обойти его.
Райос и Баттс разработали полностью автоматизированный скрипт, который может обходить механизм аутентификации, следить за процессом мойки и по ее завершении ударять дверью отсека по автомобилю. Все, что требуется атакующему для успешной атаки - выбрать IP-адрес мойки и запустить скрипт.
В ходе тестирования экспертам удалось заставить систему игнорировать инфракрасные датчики, отвечающие за безопасность работы дверей. Также они смогли манипулировать моющей аркой для удара по автомобилю и заставить ее беспрестанно поливать машину водой, усложняя водителю выход из транспортного средства.
Райос и Баттс сняли процесс атаки на мобильный телефон, однако владелец мойки, где проходило тестирование, запретил публиковать видео.
Как сообщил изданию Motherboard представитель компании PDQ, производитель работает над исправлением уязвимостей в системе.