Основатель ИБ-компании Whitescope Билли Райос (Billy Rios) выступил на конференции Black Hat с интересным докладом, посвященным небезопасности IoT-устройств. Казалось бы, о том, что интернет вещей пора переименовывать в «интернет уязвимых вещей» всем и без того известно. Достаточно вспомнить взломы автомобилей, вибраторы, с множеством уязвимостей, баги в медицинском оборудовании или недавний взлом казино, осуществленный через «умный» аквариум.
Однако Райос объединил усилия с Джонатаном Баттсом (Jonathan Butts) из компании QED Secure Solutions и рассказал о не совсем обычном хаке: исследователям удалось скомпрометировать полностью автоматизированную бесконтактную автомойку PDQ LaserWash. По их словам, такой взлом может быть очень опасен и даже способен создать угрозу чужой жизни.
«Мы уверены, что это первый взлом сетевого устройства, который может заставить устройство напасть на кого-нибудь», — рассказал Райос в беседе с журналистами Vice Motherboard.
Мойки PDQ LaserWash очень популярны в США, так как полностью автоматизированная система не требует постоянного присмотра со стороны оператора. Зачастую такие мойки устанавливают вместе с механизированными дверями, которые можно запрограммировать открываться и закрываться автоматически, а управление процессом мойки автомобиля осуществляет сам водитель, посредством выбора нужных процедур на сенсорном дисплее. Такие системы работают под управлением Windows CE и имеют встроенный веб-сервер, который позволяет настроить систему и следить за ее работой удаленно. И именно в этом кроется проблема.
Райос рассказал журналистам, что начал экспериментировать со взломом моек, после того как услышал от друга об инциденте годичной давности, когда автоматизированная мойка «атаковала» минивен с сидящими внутри людьми из-за неправильно установленных настроек. Тогда водитель предпочел повредить машину и саму мойку, стремясь поскорее уехать от жуткого устройства.
Еще в 2015 году Райос с коллегами представил доклад об уязвимостях моек PDQ на конференции Kaspersky Security Summit. Но до недавнего времени специалистам не удавалось проверить найденные уязвимости на практике. Лишь недавно владельцы автомойки в Вашингтоне согласились сотрудничать с исследователями, если те будут использовать для экспериментов свою машину.
Хотя для доступа к системам PDQ нужны логин и пароль, Райос говорит, что подобрать дефолтные учетные данные не составляет никакого труда. К тому же в процессе аутентификации была обнаружена уязвимость, которая позволяет вообще обойти этот этап.
Далеко не все системы PDQ «смотрят» в онлайн, но с помощью поисковика Shodan специалистам удалось обнаружить более 150 моек. Затем исследователи создали полностью автоматизированный скрипт, который обходит аутентификацию, дожидается, когда в мойку заезжает автомобиль (системы мойки отслеживают такие события), а потом атакует транспортное средство, ударяя его выходной дверью в нужное время. По сути, атакующему лишь нужно знать IP-адрес мойки и запустить вредоносный скрипт. Кроме того, злоумышленник может приказать мойке закрыть одну или обе двери, заблокировав машину внутри.
Хотя инфракрасные датчики должны определять, когда на пути закрывающейся двери есть препятствие, и в таком случае дверь не должна опускаться, исследователи сумели обойти этот запрет. Также им удалось перехватить управление манипуляторами самой мойки, благодаря чему можно заставить механическую «руку», к примеру, поливать автомобиль водой без остановки, мешая запертым внутри людям сбежать. Также, в теории, манипулятор можно заставить стукнуть машину, так как встроенные механизмы безопасности, препятствующие этому, тоже можно обмануть.
«Если вы всецело полагаетесь за защитные механизмы софта, это не сработает, если уже существует эксплоит. Единственное, что может сработать, это аппаратные защитные решения», — говорит Райос.
К сожалению, владельцы автомойки, в которой исследователи проводили свои тесты, не разрешили специалистам опубликовать видео, на котором запечатлен весь процесс взлома системы, хотя все было записано на камеру.
Специалисты уже уведомили о своих находках производителя и Министерство национальной безопасности. Представители PDQ подтвердили, что им известно об уязвимостях, и они уже работают над их устранением.
