Tijdens de Black Hat-conferentie in Las Vegas hebben onderzoekers gedemonstreerd (pdf) hoe ze een met internet verbonden wasstraat op afstand kunnen hacken om vervolgens een fysieke aanval op inzittenden in de wasstraat uit te voeren. Alleen een ip-adres van de wasstraat is voldoende, zo laten onderzoekers Billy Rios en Jonathan Butts in hun presentatie "When IoT Attacks" weten.
De onderzoekers keken naar de PDQ LaserWash, een volledig automatische wasstraat. Het systeem draait op Windows CE en beschikt over een ingebouwde webserver waarmee technici de wasstraat op afstand kunnen configureren en monitoren. Het PDQ-systeem vereist een gebruikersnaam en wachtwoord, maar het standaardwachtwoord is eenvoudig te raden. Daarnaast werd er een kwetsbaarheid in het inlogproces gevonden waardoor het kan worden omzeild.
De onderzoekers schreven een script dat de authenticatie omzeilt, monitort wanneer een voertuig de wasstraat wil verlaten en vervolgens de deur van de uitgang op het juiste moment tegen de auto laat dichtklappen. Alleen een ip-adres van een wasstraat is voldoende om de aanval uit te voeren. Op internet wisten de onderzoekers zo'n 150 wasstraten te vinden. De wasstraten beschikken wel over infraroodsensoren om te voorkomen dat een deur op het verkeerde moment dichtgaat, maar de onderzoekers slaagden erin om het systeem de sensoren te laten negeren.
Ook bleek het mogelijk om de wasarm te manipuleren, zodat die continu water blijft spuiten. Om dit te voorkomen beschikt de wasarm over een veiligheidsmechanisme, maar wederom wisten de onderzoekers dit te omzeilen. "We denken dat dit de eerste exploit van een connected apparaat is dat ervoor zorgt dat het apparaat iemand fysiek aanvalt", aldus Rios tegenover Vice Magazine.
PDQ was in februari 2015 al door de onderzoekers gewaarschuwd en ondanks herhaaldelijke waarschuwingen kwam er geen enkele reactie. In mei 2016 overhandigden Butts en Rios een volledig werkende proof-of-concept exploit om inzittenden aan te vallen. Twee maanden later reageerde het bedrijf met de vraag of er met een demonstratiesysteem was getest, waarna het wederom stil bleef. Dit jaar vonden de onderzoekers een eigenaar van een wasstraat die aan een live demonstratie wilde meewerken. Butts en Rios filmden de 'hack', maar de wasstraateigenaar heeft ze geen toestemming gegeven om de video te publiceren. In een reactie tegenover Vice Magazine laat PDQ weten dat het met de problemen bekend is en aan een oplossing werkt.
Deze posting is gelocked. Reageren is niet meer mogelijk.