在接收端打电话很容易,但攻击者会使出口复杂化技术不断发展,移动设备,家用电器和工业系统正在变得越来越智能。 许多这样的系统可以远程控制,也可以实时接收有关其状态的重要信息。 所有这一切都非常方便,但同时又很危险。 信息安全专家长期以来一直在讨论对需要远程控制的系统和设备提供可靠保护的需求。
它与
构成僵尸网络的计算机或智能冰箱无关。 具有适当技能的攻击者可以入侵其他对象,您不会立即说它们可以被远程控制。 这些对象是什么? 好吧,例如洗车。 几天前,一群信息安全专家展示了将洗车变成汽车驾驶员和乘客的陷阱的可能性,从而闯入洗车场。
这种系统的漏洞使得控制洗涤门,操纵器和其他元件成为可能。 从理论上讲,所有这些都使您不仅对汽车造成伤害,而且还对内部人员造成伤害。 Whitescope安全创始人
Billy Rios说: “我们相信这是第一次利用系统漏洞进行物理攻击。” 实际上,这并非完全正确,因为这也可以通过入侵汽车,无人驾驶飞机(追捕潜在受害者或跌落头部)和其他系统来完成。
但是,实际上,没有人谈论过要进行智能洗车。 黑客(从积极意义上来说)将在即将在拉斯维加斯举行的
黑帽大会上展示其工作成果。
这不是此类Rayot及其同事的第一个项目。 以前,他们表明,取决于患者生命的医疗设备,在机场安装的行李“检查”系统,用于控制门关闭,警报,照明,自动扶梯等的住宅和工业建筑的自动设备,容易受到黑客的外部攻击。 。
至于洗涤,网络安全专家研究了此类系统的模型之一,即-PDQ LaserWash。 这里的一切都是全自动的,没有旋转的刷子,在洗涤过程中没有东西会碰到机器,只有水和清洁剂喷射出来。 这些类型的水槽在美国很流行,因为它们不需要操作员或驾驶员的参与。 当汽车进入时,许多矿井的门都会关闭。 使用带触摸屏的特殊机器进行订购。 这样的系统可以在Windows CE上运行。 要配置它们,请使用可通过Internet连接的内置Web服务器。 问题就在这里被发现。
几年
前,比利·里奥特
( Billy Ryot)从他的朋友那里
听到一个故事,说其中一个水槽损坏了他的汽车,并淹没了整个家庭。 问题是维修系统的技术人员错误地设置了系统。
两年前,Rayot及其同事研究了洗涤软件,并在墨西哥的卡巴斯基安全峰会上介绍了结果。 在2015年。 然后,他们找不到愿意同意测试以检查发现的漏洞是否真的可以用于系统远程控制的洗车所有者。
获得洗涤控制并不是那么困难。 是的,系统要求输入用户名和密码,但是身份验证实现中包含错误,因此可以找到一种解决身份验证需求的方法。 据专家称,在美国,并非所有此类接收器都已连接到Internet。 但是在搜索服务的帮助下,Shodan设法找到了150多个这样的接收器。
研究了该漏洞之后,黑客编写了一个脚本,该脚本可以自动访问系统的控件,等待汽车离开水槽,并在已经出口的情况下用车门撞门。 事实是,清洗软件监视清洗汽车的过程,并在数据库中记录清洗的当前状态。 因此,所有这些都可以远程监控。 因此,最容易造成损害的方法是在受惊的驾驶员试图离开愤怒的洗车场时撞上车门。
通常,为了防止这种情况的发生,特殊的系统会配备红外传感器。 但是,事实证明,可以禁用这些传感器。 另外,可以控制使汽车浸水的机械操纵器。 如果需要,攻击者可以不断供应水,这会使受害者下车并逃跑的任务变得复杂。 的确,没有进行测试操纵器控制,因为该研究的作者担心会损坏它。 但是他们说,如果需要,可以使操纵器击败车辆。
当然,所有这些都很难被称为杀人机器,但是被黑的系统很可能会对汽车,其驾驶员和乘客造成伤害。 研究人员将其作为水槽制造商的工作成果以及美国国土安全部发送了出去。