新闻快讯
< >

自动洗车系统漏洞:引发首起利用联网设备可物理攻击他人的情形

E安全7月29日讯 安全专家一再警告,将物联网设备连接到易受攻击的公共Wi-Fi或充电点存在风险。如今,黑客事件愈来愈烈,科幻电影中的场景或许就在身边。

最近安全研究人员发现,自动洗车店也加入易遭遇攻击的行列。攻击者可利用联网洗车系统或智能洗车系统的漏洞实施恶性操作,例如困住车辆,甚至将车内乘员置于危险之中。

自动洗车系统漏洞:引发首起利用联网设备可物理攻击他人的情形-E安全

IT安全研究人员比利·里奥斯和乔纳森·巴特发现,大量美国联网洗车店使用的系统PDQ LaserWash存在严重漏洞,攻击者借助漏洞可远程访问洗车设备,实施恶意、甚至危险的行为。

自动洗车系统如何发起危险的物理攻击?

里奥斯2015年就注意到物联网设备漏洞,此后他花精力尽可能发现易受攻击的设备,并进行分析。

PDQ洗车系统提供无刷式自动洗车服务,通过使用Windows CE(Compact版本)的软件运作,并使用机械臂提供汽车清洗服务。

值得注意的是,Windows CE最初的发布时间为1996年,是一款具有20年历史的老旧操作系统,微软已不再提供相关技术支持。

PDQ洗车系统通过登录凭证进行保护(用户名和密码),易被猜中,尤其自安装以来用户都使用默认密码或弱密码时。研究人员表示,默认登录凭证易于猜测。

一旦获取了登录详情,研究人员便可利用漏洞,发送远程命令至该洗车系统,下达恶意、甚至破坏性指令,例如将车辆困在店内,肆意喷射大量水来冲洗车辆,甚至破坏车身,威胁车内人员安全。

研究人员向MotherBoard表示,他们认为这是首起利用联网设备可物理攻击他人的情形。

这两名研究人员在Black Hat安全大会上演示了研究成果。由于未经洗车店店主同意,研究人员并未公开入侵过程。

这两名研究人员已不是首次发现物联网系统存在严重漏洞。先前,这两人还发现医院药物泵存在漏洞,若被利用,攻击者可远程控制药物剂量致患者死亡。

几个月前,这两名研究人员还暴露了起搏器中存在威胁生命的漏洞,能被利用对目标设备执行潜在勒索软件攻击。

如今这个技术年代,几乎人人都在使用物联网设备。用户应修改默认登录凭证,并使用强密码。此外,更新操作系统,并使用防御网络攻击的保护措施。

 

相关阅读:

8000多项安全漏洞!起搏器是救人神器还是催命符?

数千台物联网设备受gSOAP缓冲区溢出漏洞影响[视频]
小心!MQTT安全漏洞影响能源行业及物联网设备安全

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。