Questo autolavaggio hackerato può danneggiare le auto, intrappolare i passeggeri e innaffiarli

I problemi di sicurezza che negli ultimi anni si trovano nell'equipaggiamento medico e automobilistico connesso

I problemi di sicurezza riscontrati negli ultimi anni nell'equipaggiamento medico connesso a Internet e nelle automobili hanno generato grande consapevolezza sui rischi per la sicurezza pubblica legati a questi dispositivi. Ma non sono soltanto gli strumenti clinici e i veicoli in rapido movimento a porre potenziali pericoli.

Un gruppo di ricercatori di sicurezza ha riscontrato delle vulnerabilità in un autolavaggio collegato a Internet che consentirebbero agli hacker di prendere controllo dei sistemi da remoto i sistemi per attaccare fisicamente i veicoli e i loro occupanti. Le vulnerabilità consentirebbero ad un attaccante di aprire e chiudere le porte della baia di lavaggio auto per intrappolare veicoli all'interno della zona, o colpire con le porte, danneggiando ed eventualmente ferendo gli occupanti.

"Crediamo che sia il primo caso di exploit di un device connesso che fa in modo che il device attacchi fisicamente qualcuno," ha spiegato a Motherboard Billy Rios, fondatore della Whitescope security. Rios ha condotto la ricerca assieme a Jonathan Butts di QED Secure Solutions e Terry McCorkle, un ricercatore di cybersecurity indipendente. Intendono discutere i loro risultati questa settimana alla Black Hat security conference, a Las Vegas.

Rios, che ha lavorato al progetto sia da solo che assieme ai suoi colleghi, ha esposto diverse problematiche di sicurezza durante gli ultimi anni, tra cui alcune criticità rilevate nelle pompe che servono a inviare sostanze e medicine ai pazienti ricoverati in ospedale, altre nei rilevatori a raggi-x degli aeroporti per il monitoraggio delle armi, altre nei sistemi che controllano le porte elettroniche, gli allarmi, le luci, gli ascensori e le telecamere di sorveglianza di alcuni edifici.

Questa volta si è concentrato sul PDQ LaserWash, un sistema per autolavaggi completamente automatizzato e privo di spazzole che spruzza acqua e lucidante attraverso un braccio meccanico che si muove attorno al veicolo. Gli autolavaggi PDQ sono particolarmente popolari negli Stati Uniti perché non richiedono degli operatori. Molte delle strutture hanno dei portelloni all'entrata e all'uscita che possono essere programmati per aprirsi automaticamente all'inizio e alla fine di ogni giornata, c'è inoltre anche un menu touchscreen che permette ai guidatori di scegliere le loro opzioni di lavaggio senza che debbano interagire con alcun operatore.

Il sistema si basa su Windows CE e ha un web server pre-installato che permette ai tecnici di configurare e monitorare le strutture su internet. Ed è proprio qui il problema.

Rios ha detto di essersi interessato agli autolavaggi dopo aver sentito da un amico la storia di un incidente avvenuto qualche anno prima, in cui un tecnico aveva mal configurato un autolavaggio a tal punto da far sì che uno dei bracci meccanici ha colpito un minivan e inaffiato la famiglia al suo interno con l'acqua. Il guidatore si è visto danneggiato il veicolo mentre ha rapidamente accelerato per cercare di fuggire.

Un passaggio riusciti all'interno dell'autolavaggio. I ricercatori non sono riusciti a ottenere il permesso per pubblicare il video dell'autolavaggio hackerato in azione.

Rios e McCorkle hanno esaminato il software PDQQ due anni fa e hanno presentato i loro risultati sulle vulnerabilità del sistema al Kaspersky Security Summit in Messico nel 2015. Anche se credevano che le vulnerabilità che avevano rilevato fossero sufficienti per prendere il controllo del sistema, non sono riusciti a provare questa teoria su un vero autolavaggio fino a quest'anno, quando una struttura nello stato di Washington ha accettato di collaborare con loro, usando il pickup dei ricercatori come vittima dell'hack.

Anche se i sistemi PDQ richiedono un username e una password per essere controllati online, la password di default si poteva indovinare facilmente, hanno spiegato i ricercatori. Hanno anche rilevato una vulnerabilità nell'implementazione del processo di autenticazione attraverso la quale si poteva bypassare il login. Non tutti i sistemi PDQ sono online, ma i ricercatori hanno trovato più di 150 strutture online sfruttando il motore di ricerca Shodan, che cerca online dispositivi fisici connessi a internet come webcam, stampanti, sistemi di controllo industria e, in questo caso, autolavaggi.

Hanno programmato uno script automatico che bypassa l'autenticazione, monitora il momento in cui il veicolo è pronto per uscire dalla camera di lavaggio e di conseguenza fa si che la porta di uscita colpisca il veicolo al momento giusto. Tutto ciò che l'aggressore deve fare è scegliere l'indirizzo IP dell'autolavaggio che vogliono attaccare e poi lanciare lo script. Il software dell'autolavaggio traccia gli step del processo di lavaggio, rendendo semplice sapere quando il lavaggio sta per finire e dunque quando il veicolo è in procinto di uscire. L'aggressore può inviare un comando istantaneo per chiudere una o entrambe le porte e intrappolare il veicolo all'interno dell'autolavaggio, può anche ordinare l'apertura e la chiusura ripetuta delle porte per colpire ripetutamente il veicolo mentre il guidatore cerca di scappare.

Anche se i sensori infrarossi possono rilevare la presenza di un ostacolo nel percorso della porta per evitare che la stessa lo colpisca, i ricercatori hanno potuto eludere questo sistema di sicurezza. Sono anche riusciti a manipolare il braccio meccanico per fare un modo che colpisse il veicolo e lo inondasse d'acqua ripetutamente, rendendo così difficile per il guidatore uscire dalla macchina. Non hanno testato questa funzione durante il loro test per evitare di danneggiare il braccio meccanico.

C'è un meccanismo di sicurezza su base software che fa in modo che il braccio non colpisca i veicoli, normalmente, ma sono riusciti a eludere anche questo.

"Se ti affidi esclusivamente a meccanismi di sicurezza software, avrai dei grossi problemi se si scopre una falla che si può sfruttare," ha spiegato Rios in un'intervista. "L'unico sistema che funziona davvero in questi casi deve essere basato sull'hardware, non sul software."

Anche se i ricercatori hanno filmato i test con degli smartphone, il proprietario dell'autolavaggio non ha permesso loro di pubblicare i video.

Questa non è la prima volta che un sistema robotizzato viene manipolato. A maggio, dei ricercatori di Trend Micro hanno dimostrato come erano in grado ricalibrare un braccio robotico utilizzato negli impianti manifatturieri e manipolare i suoi movimenti. L'hack all'autolavaggio, però, ha "un maggiore potenziale di impatto sulle masse," ha spiegato Rios. "Non ci sono poi così tante strutture… presenti negli spazi pubblici… e che possono essere manipolate per fare in modo che ti colpiscano."

I ricercatori hanno riportato i loro risultato al Department of Homeland Security e al venditore degli autolavaggi e questa settimana pubblicheranno un report in contemporanea al loro talk alla Black Hat conference.

Un portavoce di PDQ ha detto a Motherboard per email che sono "a conoscenza" del talk alla Black Hat conference e che stanno lavorando per indagare e sistemare i problemi di sicurezza del sistema.

"Tutti i sistemi — specialmente quelli connessi ad internet — devono essere progettati tenendo bene a mente la sicurezza," ha scritto Gerald Hanrahan di PDQ. "E questo include anche assicurarsi che i sistemi siano protetti da un firewall e che tutte le password di default siano stte cambiate. Il nostro team di supporto tecnico è disponibile e pronto a discutere ogni problematica con tutti i nostri clienti."