Hacker descobriu como deixar motoristas presos e encharcados em lava-jato

Nos últimos anos, os problemas de segurança em equipamentos médicos e carros com acesso à internet chamaram muita atenção para os riscos de segurança pública, mas não são apenas essas máquinas que podem tirar nossas vidas com um simples hack.

Um grupo de pesquisadores descobriu recentemente vulnerabilidades em lava-rápidos com conexão à internet. Segundo eles, hackers poderiam dominar sistemas remotamente e, assim, atacariam veículos e seus ocupantes. Não só: as brechas permitiriam ao criminoso abrir e fechar portas dentro do lava-jato, o que tornaria possível prender um carro lá dentro ou ainda atacá-los com portadas mortais.

"Acreditamos se tratar do primeiro exploit de um dispositivo conectado que faz com que o aparelho ataque alguém fisicamente", comentou Billy Rios, fundador da empresa de segurança Whitescope. Rios conduziu a pesquisa ao lado de Jonathan Butts da QED Secure Solutions. Eles planejam discutir suas descobertas durante a conferência de segurança Black Hat em Las Vegas, nos EUA, nesta semana.

Rios, que por vezes trabalha sozinho, já trouxe à tona diversos problemas de segurança ao longo dos anos, desde bombas de infusão de medicamentos para pacientes de hospital até sistemas prediais que controlam travas de portas, alarmes, luzes, elevadores e câmeras de segurança

Desta vez seu foco foi o PDQ LaserWash, um lava-jato automatizado que utiliza um braço mecânico para pulverizar água e cera em um veículo. Os sistemas PDQ são populares nos EUA porque não precisam de funcionários para sua operação. Muitas das instalações contam com portas que podem ser programadas para abrir e fechar automaticamente em horários pré-definidos. Elas também contam com um menu em tela de toque que permite aos usuários escolherem que tipo de lavagem desejam.

O sistema roda em ambiente Windows CE e conta com servidor web embutido que permite a técnicos configurarem e monitorarem seu funcionamento pela internet e é exatamente aí que está o problema.

Rio diz ter se interessado pelos lava-jatos depois de um amigo ter comentado sobre um acidente s em que os técnicos responsáveis configuraram o sistema erroneamente e o braço mecânico atacou uma minivan e encharcou a família que estava lá dentro. O motorista tentou acelerar para escapar da armadilha robótica e ferrou feio o carro.

Uso bem-sucedido do lava-jato. Os pesquisadores não conseguiram permissão para publicar vídeo do hack em ação.

Rios e McCorkle examinaram o software da PDQ há dois anos e apresentaram suas descobertas durante o Kaspersky Security Summit realizado no México em 2015. Por mais que acreditassem que tais vulnerabilidades permitiriam a tomada do sistema, não puderam testar a teoria em um lava-jato de verdade até que uma de suas unidades em Washington aceitou cooperar. A vítima? Uma picape dos pesquisadores.

Embora o sistema PDQ exija um nome de usuário e senha para acesso online, a senha padrão pode ser adivinhada facilmente, de acordo com os pesquisadores. Eles também encontraram uma brecha no processo de autenticação que permite burlá-lo. Nem todos os sistemas da PDQ são online, mas os pesquisadores descobriram que mais de 150 deles são. A conclusão veio pelo Shodan Search Engine, que busca por aparelhos conectados à internet tais como webcams, impressoras, sistemas de controle industrial e, neste caso, lava-jatos.

Os pesquisadores então criaram um script de ataque automatizado que burla a autenticação. Tudo que um hacker precisaria fazer é escolher o IP do lava-jato que gostariam de atacar e então utilizar o código. O software do lava-jato monitora onde o carro se encontra durante o ciclo de lavagem, o que ajuda a determinar quando a lavagem está prestes a terminar, bem como o tempo de saída do veículo. Um criminoso poderia mandar um comando instantâneo para fechar as portas de forma a prender um veículo ali dentro ou abrir e fechar portas repetidamente para atacar o veículo enquanto o motorista tenta escapar.

Apesar da presença de sensores infravermelhos nas portas para impedir que aconteçam tais coisas, os pesquisadores conseguiram fazer com que o sistema ignorasse os sensores. Eles também conseguiriam manipular o braço mecânico para bater no veículo ou jorrar água continuamente, o que dificultaria a saída de um ocupante do veículo. Este teste, porém, não foi feito porque poderia danificar o braço.

Um mecanismo de segurança de software geralmente impediria que o braço atacasse um veículo, mas os pesquisadores conseguiram derrubá-lo também.

"Se sua segurança depende puramente de software, ela não irá funcionar com um exploit na jogada", disse Rios em entrevista. "A única coisa que funcionará [nestas condições] são mecanismos de segurança em hardware."

Por mais que os pesquisadores tenham filmado os testes com um celular, o dono do lava-jato não lhes deu permissão para divulgar o vídeo.

Esta não é a primeira vez que alguém invade um sistema robótico. Em maio, pesquisadores da Trend Micro mostraram que poderiam recalibrar um braço robótico utilizado em fábricas de forma a afetar seu movimento, mas o ataque do lava-jato tem "um impacto potencial maior às massas", disse Rios. "Não há tantas coisas no espaço público que possam bater em você."

Os pesquisadores relataram suas descobertas ao Departamento de Segurança Nacional dos Estados Unidos, bem como ao fornecedor do equipamento. Eles também divulgarão um relatório nesta semana junto de uma presentação na conferência Black Hat.

Um porta-voz da PDQ disse ao Motherboard em um email que está "ciente" da apresentação na Black Hat e que a empresa trabalha na investigação e reparação de quaisquer problemas de segurança com o sistema.

"Todos os sistemas – especialmente os com acesso à internet – devem ser configurados com a segurança em mente", disse Gerald Hanrahan da PDQ. "Isso inclui garantir que os sistemas estejam protegidos por um firewall na rede, bem como a mudança de todas as senhas padrão. Nosso suporte técnico está a postos para discutir tais problemas com nossos clientes."

Leia mais matérias de ciência e tecnologia no canal MOTHERBOARD.
Siga o Motherboard Brasil no Facebook e no Twitter.
Siga a VICE Brasil no Facebook , Twitter e Instagram .