Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Uli Ries 127

Internet der Dinge: Wenn die Waschstraße angreift

Internet der Dinge: Wenn die Waschstraßen angreift

Bild: PDQ

Sicherheitsforscher haben diverse Schwachstellen in automatisierten Autowaschstraßen gefunden, die sich sogar übers Internet missbrauchen lassen. Durch ferngesteuerte Tore, Roboterarme und Hochdruck-Wasserstrahle könnte es sogar zu Personenschäden kommen.

Immer wieder rauscht das automatische Rolltor auf die Motorhaube des Pick-up-Trucks. Am Steuer: Billy Rios, der zusammen mit Dr. Jonathan Butts im Rahmen der Black Hat 2017 die Ergebnisse eines erfolgreichen Angriffs auf Waschstraßen vom Typ PDQ LaserWash durch Videoaufzeichnungen demonstrierte; die Waschstraßen sind in den weitflächigen USA oft anzutreffen, da sie vollautomatisch ohne Bedienpersonal funktionieren. An sich hätte ein Infrarotsensor verhindern sollen, dass sich das Tor schließt, wenn ein Auto oder ein Mensch darunter stehen.

Die Hacker konnten die Steuerungssoftware jedoch von außen manipulieren, die Sensorabfrage umgehen und dann das Kommando zum Schließen an den ARM-basierten Steuerungscomputer schicken. Den Hackern zufolge sei dies der erste dokumentierte Angriff, bei dem ein IoT-Gerät einen Menschen angreift. Erschreckend daran ist, dass die Attacke sogar über das Internet durchgeführt werden kann. Rios fand über 150 dieser Waschstraßen mit der IoT-Suchmaschine Shodan. Sie wurden wahrscheinlich ins Netz gehängt, damit sie E-Mails mit Statusmeldungen und Trendanalysen an die Betreiber verschicken können.

Veraltetetes Windows und diverse Bugs

Die vom Hersteller installierte Software zur Anlagensteuerung läuft auf dem nicht länger mit Sicherheitsupdates versorgten Windows CE und hat diverse Bugs. Durch Missbrauch eines dieser Bugs kann ein Angreifer die Nutzerauthentifizierung umgehen und sich mit dem auf jeder Anlage vorhandenen Konto des Anlagenbetreibers anzumelden. Dazu muss der Angreifer lediglich eine nicht standardkonforme HTTP-Auth-Anfrage mit manipuliertem Header an die Webserverkomponente des Steuercomputers schicken. Die Software kann damit nichts anfangen und loggt den Hacker ohne Passwortabfrage als "Owner" ein; das voreingestellte Passwort für diesen Account lautet übrigens 12345.

Laut Rios kann durch Kommunikation mit einer der zahlreichen DLLs, auf denen die Software basiert, auch der Wasserstrahl auf einen zwischen den Toren eingesperrten Menschen gerichtet werden. Wahlweise solle sich der Arm, der das Wasser versprüht, so ausrichten lassen, dass er das Auto beschädigt. Letzteres haben die Forscher aber aus naheliegenden Gründen nicht ausprobiert. Die Videos, die die übrigen Manipulationen belegen, dürfen Rios und Butts nicht veröffentlichen: Der Betreiber der Waschstraße, der seine Anlage für die Tests zur Verfügung stellte, untersagte die Veröffentlichung.

Den Hersteller PDQ hatten die Forscher erstmals Anfang 2015 auf die Schwachstellen aufmerksam gemacht und in der Folge immer wieder. Reaktion: keine. Erst als der Vortrag auf der Black-Hat-Website gelistet wurde, erkundigte sich der Hersteller, wo die Hacker ihre Tests gemacht haben. Ein Update der Software sei trotz der dokumentierten Risiken nicht geplant. Um Manipulationen zu verhindern, sollten Betreiber zumindest die Steuerrechner mit einer Firewall vor dem Internet verbergen und die voreingestellten Passwörter ändern. Grundsätzlich wünscht sich Billy Rios jedoch, dass Hersteller wie PDQ sich nicht alleine auf Softwarekomponenten verlassen, um Hardwarekomponenten abzusichern. (ju)

127 Kommentare

Themen:

Anzeige
  1. 33C3: Mit Zero-Days gegen Dissidenten

    33C3: Mit Zero-Days gegen Dissidenten

    Autoritäre Staaten lassen sich das Bespitzeln von Oppositionellen und Kritikern viel Geld kosten. Über die Hackversuche finden Aktivisten sogar Zero-Day-Exploits.

  2. BlueBorne: Android, Linux und Windows über Bluetooth angreifbar

    BlueBorne: Android, Linux und Windows über Bluetooth angreifbar

    Millionen, vielleicht sogar Milliarden, von Geräten mit Bluetooth können vom Opfer unbemerkt über das Funkprotokoll angegriffen werden. Android- und Linux-Geräte können auf diese Weise gar komplett übernommen werden.

  3. Sicherheitspanne an New Yorker Flughafen besteht fast ein Jahr

    Landendes Flugeug

    Ein gravierender Konfigurationsfehler erlaubte freien Zugriff auf die Server-Backups des Stewart International Airport. Sogar Zugangsdaten zum Passagiermanagementsystem waren öffentlich einsehbar.

  4. "Ändere-dein-Passwort-Tag": Pro und Contra Passwortwechsel

    Passwort

    Ist es sinnvoll, sein Passwort regelmäßig und vorsichtshalber zu ändern? Was in einigen Firmen verpflichtend ist, ist in Security-Kreisen umstritten. Unter Umständen kann das sogar kontraproduktiv sein.

  1. Hardware-Fuzzing: Hintertüren und Fehler in CPUs aufspüren

    Hardware-Fuzzing: Hintertüren und Fehler in CPUs aufspüren

    Ein Prozessor-Fuzzer analysiert Hardware, der man normalerweise blind vertrauen muss. In ersten Testläufen wurde er bei nahezu allen Architekturen fündig und spürte etwa undokumentierte CPU-Befehle auf. Sandsifter ist kostenlos und frei verfügbar; der Autor hilft sogar bei der Analyse.

  2. IT-Sicherheit und Datenschutz in IoT-Projekten umsetzen

    Der Security Engineering Lifecycle (SEL) ist von der ersten Produktidee bis zum Ende des Produkts mehrfach zu durchlaufen, um das Sicherheitskonzept immer wieder neu gegenüber den sich stetig ändernden Randbedingungen zu prüfen und es gegebenenfalls anzupassen (Abb. 2).

    Ob Medizintechnik, Automobilbranche oder Automatisierung von Wirtschaftsabläufen: De facto sind viele IoT-Daten und -Anwendungen hoch sensitiv und sollten nur für Berechtigte zugänglich sein. Leider ist das in der Realität oft nicht der Fall.

  3. Kampf der Maschinen

    Kampf der Maschinen

    Computer hacken Computer – seit Sommer 2016 ist das Wirklichkeit. Droht uns ein Sicherheitsalbtraum, weil Software Bugs im Sekundentakt in anderer Software aufspürt? Ein Realitätscheck.

  1. Kommentar: Firefox ist wieder cool

    Kommentar: Firefox ist wieder cool

    Mit großem Tamtam hat Mozilla Firefox Quantum veröffentlicht. Ein längst überfälliges Update: Endlich kann es der Browser mit seinem ärgsten Rivalen aufnehmen. (Nicht nur) Chrome-Nutzer sollten einen Blick riskieren und Firefox eine (zweite) Chance geben.

  2. Zweibeiniger Roboter Atlas schafft Salto rückwärts

    Mann schmeißt Atlas um

    Eine neue Version des aufrecht gehenden Roboters Atlas zeigt akrobatische Talente: Kisten sind kein Hindernis mehr, und sogar ein Salto aus dem Stand gelingt – meistens jedenfalls.

Anzeige