Hackers kunnen nu ook auto's opsluiten in wasstraten en ze er mee kapotslaan

Dit verhaal gaat voor wasstraten doen wat Jaws voor water heeft gedaan.
26.7.17

De slecht beveiliging van via internet aangestuurde medische apparatuur en auto's is de afgelopen jaren veel in het nieuws geweest. Maar het zijn niet alleen kunstlongen en auto's waar mee geklooid kan worden. Een groep onderzoekers heeft zwakke plekken gevonden in op internet aangesloten wasstraten, waarmee een hacker mogelijk in kan breken om voertuigen en inzittenden fysiek aan te vallen. De zwakke plekken maken het mogelijk om de deuren van de wasstraat open en dicht te doen zodat auto's vast blijven zitten. Ook kunnen ze met die deuren de auto en inzittenden een pak rammel geven.

"Dit is de eerste keer dat een met internet verbonden apparaat gehackt is waardoor het iemand fysiek aanvalt," zei Billy Rios, oprichter van Whitescope Security, tegen Motherboard. Rios deed het onderzoek met Jonathan Butts van QED Secure Solutions en Terry McCorkle, een onafhankelijke cybersecurityonderzoeker. Ze zijn van plan om hun bevindingen deze week te bespreken op de Black Hat-veiligheidsconferentie in Las Vegas.

Rios heeft de afgelopen jaren veel veiligheidsproblemen aangetoond, zoals in medicijnpompen die in ziekenhuizen worden gebruikt, röntgenscanners die op vliegvelden wapens moeten detecteren, en systemen die in een gebouw elektronische sloten, alarmsystemen, lichten, liften en beveiligingscamera's aansturen.

Een hacker kan een commando sturen om één of beide deuren te sluiten, of een bepaalde deur herhaaldelijk te openen en te sluiten terwijl de bestuurder probeert te ontsnappen.

Deze keer richtte hij zich op de PDQ LaserWash, een draadloos autowassysteem dat water en was uit een beweegbare mechanische arm spuit. Deze dingen zijn populair in Amerika, omdat er niemand ze aan hoeft te sturen. Veel wasstraten hebben deuren bij de ingang en uitgang die zijn geprogrammeerd om automatisch open en dicht te gaan, en een touchscreen dat bestuurders een schoonmaakroutine laat kiezen zonder interactie met bedienden.

De systemen draaien op Windows CE en hebben een ingebouwde webserver waarmee technici ze via het internet kunnen configureren.

Rios vertelt dat hij geïnteresseerd raakte in wasserettes toen een vriend hem vertelde over een ongeluk. Een paar jaar geleden werd een gezin door een technische fout geslagen door een van de robotarmen. De bestuurder beschadigde vervolgens de wasserette en de auto zelf toen hij weg probeerde rijden.

Een beurt in een wasserette die wel goed afloopt. De onderzoekers kregen van de eigenaren van de wasserette geen toestemming om de video van de hack te publiceren.

Rios en McCorkle onderzochten de PDQ-software twee jaar geleden en presenteerden hun bevindingen op de Kaspersky Security Summit in Mexico in 2015. Hoewel ze er van overtuigd waren dat ze met de kwetsbaarheden die ze vonden een heel systeem konden overnemen, vonden ze pas dit jaar pas een wasserette waar ze het mochten testen.

Om online in te loggen op het PDQ-systeem heb je een gebruikersnaam en wachtwoord nodig, maar omdat er een standaard wachtwoord werd gebruikt, waren die gemakkelijk te raden.

En ze vonden nog meer kwetsbaarheden waarmee ze de boel konden overnemen. Niet alle PDQ-systemen zijn verbonden met het internet, maar de onderzoekers vonden meer dan 150 systemen die online waren.

Ze konden de robotarm besturen zodat ze de auto klappen konden verkopen en tegelijk konden natspuiten waardoor het moeilijk wordt voor de inzittenden om te vluchten.

Ze schreven een scriptje om langs de beveiliging te komen. Normaliter checkt het systeem of er een auto aankomt, zodat het precies weet hoe en wanneer het de schoonmaakarm moet laten zakken. Het enige dat ze nodig hadden om dit systeem over te nemen was het ip-adres van de wasserette. Het was kinderspel om de auto in de wasstraat op te sluiten en een paar rake klappen uit te delen met de robotarmen van de wasserette.

Hoewel infrarood-sensoren kunnen waarnemen als iemand z'n deur opendoet, was het voor de onderzoekers vrij gemakkelijk om ook deze veiligheidssystemen te blokkeren. In normale situatie staat de software dit wapengekletter niet toe, maar die bleek te omzeilen, waardoor de wasstraat in een soort Disney-hindernisbaan kon veranderen.

"Als je alleen software gebruikt voor de veiligheid, dan werkt dat niet als een exploit is ingezet," zegt Rios. "Het enige dat werkt zijn ingebouwde beperkingen in het design van de mechanische elementen zelf." De onderzoekers hebben een video gemaakt, maar de eigenaar van de wasstraat wil niet dat de video online komt. Begrijpelijk, maar wel zonde.

Dit is namelijk geen nieuw probleem. In mei demonstreerden de onderzoekers van Trend Micro hoe ze een robotarm in een fabriek konden besturen. "Maar een op hol geslagen wasstraat maakt toch wat meer indruk op de massa," denkt Rios. "Zoveel mechanische dingen in de publieke ruimte die je kunnen slaan zijn er nou ook weer niet."

In een reactie liet een woordvoerder van PDQ weten dat ze het veiligheidslek aan het oplossen zijn.