image

Gehackte wasstraat kan fysieke aanval op inzittenden uitvoeren

donderdag 27 juli 2017, 16:28 door Redactie, 7 reacties

Tijdens de Black Hat-conferentie in Las Vegas hebben onderzoekers gedemonstreerd (pdf) hoe ze een met internet verbonden wasstraat op afstand kunnen hacken om vervolgens een fysieke aanval op inzittenden in de wasstraat uit te voeren. Alleen een ip-adres van de wasstraat is voldoende, zo laten onderzoekers Billy Rios en Jonathan Butts in hun presentatie "When IoT Attacks" weten.

De onderzoekers keken naar de PDQ LaserWash, een volledig automatische wasstraat. Het systeem draait op Windows CE en beschikt over een ingebouwde webserver waarmee technici de wasstraat op afstand kunnen configureren en monitoren. Het PDQ-systeem vereist een gebruikersnaam en wachtwoord, maar het standaardwachtwoord is eenvoudig te raden. Daarnaast werd er een kwetsbaarheid in het inlogproces gevonden waardoor het kan worden omzeild.

De onderzoekers schreven een script dat de authenticatie omzeilt, monitort wanneer een voertuig de wasstraat wil verlaten en vervolgens de deur van de uitgang op het juiste moment tegen de auto laat dichtklappen. Alleen een ip-adres van een wasstraat is voldoende om de aanval uit te voeren. Op internet wisten de onderzoekers zo'n 150 wasstraten te vinden. De wasstraten beschikken wel over infraroodsensoren om te voorkomen dat een deur op het verkeerde moment dichtgaat, maar de onderzoekers slaagden erin om het systeem de sensoren te laten negeren.

Ook bleek het mogelijk om de wasarm te manipuleren, zodat die continu water blijft spuiten. Om dit te voorkomen beschikt de wasarm over een veiligheidsmechanisme, maar wederom wisten de onderzoekers dit te omzeilen. "We denken dat dit de eerste exploit van een connected apparaat is dat ervoor zorgt dat het apparaat iemand fysiek aanvalt", aldus Rios tegenover Vice Magazine.

PDQ was in februari 2015 al door de onderzoekers gewaarschuwd en ondanks herhaaldelijke waarschuwingen kwam er geen enkele reactie. In mei 2016 overhandigden Butts en Rios een volledig werkende proof-of-concept exploit om inzittenden aan te vallen. Twee maanden later reageerde het bedrijf met de vraag of er met een demonstratiesysteem was getest, waarna het wederom stil bleef. Dit jaar vonden de onderzoekers een eigenaar van een wasstraat die aan een live demonstratie wilde meewerken. Butts en Rios filmden de 'hack', maar de wasstraateigenaar heeft ze geen toestemming gegeven om de video te publiceren. In een reactie tegenover Vice Magazine laat PDQ weten dat het met de problemen bekend is en aan een oplossing werkt.

Image

Reacties (7)
27-07-2017, 18:59 door Anoniem
ah, Windows CE, werkt nog met SMBv1.
27-07-2017, 22:54 door [Account Verwijderd]
Citaat uit redactioneel artikel:
"We denken dat dit de eerste exploit van een connected apparaat is dat ervoor zorgt dat het apparaat iemand fysiek aanvalt".

Als straks zo'n slimme stozuiger als deze https://www.security.nl/posting/525399/Fabrikant+slimme+stofzuiger+overweegt+verkoop+van+huisdata bewoners/eigenaren hitsig achter hun vodden kan gaan jagen wordt het echt een klucht.
iOT en iThings? Prima script voor iets nieuws... een Techno-Ero film van Steven Spielberg!

P.s. Ik zweer bij mijn Nilfisk GS80. (1981-1984) Doet alleen wat ik wil (stofzuigen) en dat alleen als ik het wil. Dat is voldoende.
28-07-2017, 08:18 door Anoniem
Door Aha:
P.s. Ik zweer bij mijn Nilfisk GS80. (1981-1984) Doet alleen wat ik wil (stofzuigen) en dat alleen als ik het wil. Dat is voldoende.

Ja maar, die is niet smart of met smartphone te bedienen en ook niet makkelijk en tot slot zoooooooo vorige eeuw ;)
28-07-2017, 09:55 door _R0N_
Klinkt als een plot voor een Dick Maas film..
28-07-2017, 10:33 door Anoniem
Door _R0N_: Klinkt als een plot voor een Dick Maas film..

haha ja in plaats dat je onthoofd wordt door "de lift" nu door een wasstraat :p
28-07-2017, 16:58 door Anoniem
Hang het maar aan het Internet en wacht op het moment tot je aangevallen wordt.

Als je 75 wordt vallen al je smart apparaten je tegelijk aan ## GRRRR 75 ## en vliegen je naar je keel.

Moet toch niet gekker worden met "CleverSmart iOT".
31-07-2017, 18:54 door Anoniem
Heeft zo'n stofzuiger ook een camera? Dan kun je zien wat mensen in werkelijkheid met hun 'stofzuiger' doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.