Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.682.381 Produkten

Uli Ries 127

Internet der Dinge: Wenn die Waschstraße angreift

Internet der Dinge: Wenn die Waschstraßen angreift

Bild: PDQ

Sicherheitsforscher haben diverse Schwachstellen in automatisierten Autowaschstraßen gefunden, die sich sogar übers Internet missbrauchen lassen. Durch ferngesteuerte Tore, Roboterarme und Hochdruck-Wasserstrahle könnte es sogar zu Personenschäden kommen.

Immer wieder rauscht das automatische Rolltor auf die Motorhaube des Pick-up-Trucks. Am Steuer: Billy Rios, der zusammen mit Dr. Jonathan Butts im Rahmen der Black Hat 2017 die Ergebnisse eines erfolgreichen Angriffs auf Waschstraßen vom Typ PDQ LaserWash durch Videoaufzeichnungen demonstrierte; die Waschstraßen sind in den weitflächigen USA oft anzutreffen, da sie vollautomatisch ohne Bedienpersonal funktionieren. An sich hätte ein Infrarotsensor verhindern sollen, dass sich das Tor schließt, wenn ein Auto oder ein Mensch darunter stehen.

Anzeige

Die Hacker konnten die Steuerungssoftware jedoch von außen manipulieren, die Sensorabfrage umgehen und dann das Kommando zum Schließen an den ARM-basierten Steuerungscomputer schicken. Den Hackern zufolge sei dies der erste dokumentierte Angriff, bei dem ein IoT-Gerät einen Menschen angreift. Erschreckend daran ist, dass die Attacke sogar über das Internet durchgeführt werden kann. Rios fand über 150 dieser Waschstraßen mit der IoT-Suchmaschine Shodan. Sie wurden wahrscheinlich ins Netz gehängt, damit sie E-Mails mit Statusmeldungen und Trendanalysen an die Betreiber verschicken können.

Die vom Hersteller installierte Software zur Anlagensteuerung läuft auf dem nicht länger mit Sicherheitsupdates versorgten Windows CE und hat diverse Bugs. Durch Missbrauch eines dieser Bugs kann ein Angreifer die Nutzerauthentifizierung umgehen und sich mit dem auf jeder Anlage vorhandenen Konto des Anlagenbetreibers anzumelden. Dazu muss der Angreifer lediglich eine nicht standardkonforme HTTP-Auth-Anfrage mit manipuliertem Header an die Webserverkomponente des Steuercomputers schicken. Die Software kann damit nichts anfangen und loggt den Hacker ohne Passwortabfrage als "Owner" ein; das voreingestellte Passwort für diesen Account lautet übrigens 12345.

Laut Rios kann durch Kommunikation mit einer der zahlreichen DLLs, auf denen die Software basiert, auch der Wasserstrahl auf einen zwischen den Toren eingesperrten Menschen gerichtet werden. Wahlweise solle sich der Arm, der das Wasser versprüht, so ausrichten lassen, dass er das Auto beschädigt. Letzteres haben die Forscher aber aus naheliegenden Gründen nicht ausprobiert. Die Videos, die die übrigen Manipulationen belegen, dürfen Rios und Butts nicht veröffentlichen: Der Betreiber der Waschstraße, der seine Anlage für die Tests zur Verfügung stellte, untersagte die Veröffentlichung.

Den Hersteller PDQ hatten die Forscher erstmals Anfang 2015 auf die Schwachstellen aufmerksam gemacht und in der Folge immer wieder. Reaktion: keine. Erst als der Vortrag auf der Black-Hat-Website gelistet wurde, erkundigte sich der Hersteller, wo die Hacker ihre Tests gemacht haben. Ein Update der Software sei trotz der dokumentierten Risiken nicht geplant. Um Manipulationen zu verhindern, sollten Betreiber zumindest die Steuerrechner mit einer Firewall vor dem Internet verbergen und die voreingestellten Passwörter ändern. Grundsätzlich wünscht sich Billy Rios jedoch, dass Hersteller wie PDQ sich nicht alleine auf Softwarekomponenten verlassen, um Hardwarekomponenten abzusichern. (Uli Ries) / (ju)

127 Kommentare

Themen:

Anzeige
  1. 33C3: Mit Zero-Days gegen Dissidenten

    33C3: Mit Zero-Days gegen Dissidenten

    Autoritäre Staaten lassen sich das Bespitzeln von Oppositionellen und Kritikern viel Geld kosten. Über die Hackversuche finden Aktivisten sogar Zero-Day-Exploits.

  2. BlueBorne: Android, Linux und Windows über Bluetooth angreifbar

    BlueBorne: Android, Linux und Windows über Bluetooth angreifbar

    Millionen, vielleicht sogar Milliarden, von Geräten mit Bluetooth können vom Opfer unbemerkt über das Funkprotokoll angegriffen werden. Android- und Linux-Geräte können auf diese Weise gar komplett übernommen werden.

  3. Sicherheitspanne an New Yorker Flughafen besteht fast ein Jahr

    Landendes Flugeug

    Ein gravierender Konfigurationsfehler erlaubte freien Zugriff auf die Server-Backups des Stewart International Airport. Sogar Zugangsdaten zum Passagiermanagementsystem waren öffentlich einsehbar.

  4. Sicherheitstechnik einer smarten Pistole geknackt

    Hacker knackt Sicherheitsmechanismen von "smarter" Pistole

    Ein Hacker namens Plore hat offenbar mehrere Möglichkeiten gefunden, die Sicherheitsmechanismen der "smarten" Pistole iP1 des Herstellers Armatix auszuhebeln. So kann sogar Notwehr unmöglich werden.

  1. Hardware-Fuzzing: Hintertüren und Fehler in CPUs aufspüren

    Hardware-Fuzzing: Hintertüren und Fehler in CPUs aufspüren

    Ein Prozessor-Fuzzer analysiert Hardware, der man normalerweise blind vertrauen muss. In ersten Testläufen wurde er bei nahezu allen Architekturen fündig und spürte etwa undokumentierte CPU-Befehle auf. Sandsifter ist kostenlos und frei verfügbar; der Autor hilft sogar bei der Analyse.

  2. Kampf der Maschinen

    Kampf der Maschinen

    Computer hacken Computer – seit Sommer 2016 ist das Wirklichkeit. Droht uns ein Sicherheitsalbtraum, weil Software Bugs im Sekundentakt in anderer Software aufspürt? Ein Realitätscheck.

  3. Chema Alonso: "Wir werden ein Riesenproblem bekommen"

    Chema Alonso: "Wir werden ein Riesenproblem bekommen"

    Wenn sich die Branche nicht ernsthaft Gedanken über Sicherheit im Internet of Things macht, wird es irgendwann knallen: Sicherheitsexperte Chema Alonso plädiert im c't-Gespräch für einen ganzheitlichen Ansatz.

  1. Die Neuerungen von Linux 4.15

    Linux-Kernel 4.15

    Das noch diesen Monat erwartete Linux 4.15 schützt vor den Auswirkungen der Sicherheitslücken Meltdown und Spectre. Ohne Performance-Verlust geht das aber auch bei Linux nicht. An weiteren Gegenmaßnahmen schrauben die Kernel-Entwickler bereits.

  2. "Textbombe" crasht iOS und macOS

    "Textbombe" crasht iOS und macOS

    Aktuell verbreitet sich ein Link, mit dem sich verschiedene Apps auf Macs, iPhones und iPads mit einem Klick zum Absturz bringen lassen. Manchmal bleibt auch das ganze System stehen.

  3. PC-Anforderungen von Final Fantasy XV: Über 155 GByte Speicher, 16 GByte RAM, GTX 1080 Ti für 4K

    PC-Anforderungen von Final Fantasy XV: Über 155 GByte Speicher, 16 GByte RAM, GTX 1080 Ti für 4K, Benchmark-Tool am 1. Februar

    Für die PC-Version des Action-Rollenspiels Final Fantasy XV müssen wohl einige Spieler ihre SSDs oder Festplatten von unnötigem Ballast befreien: Das Spiel belegt in der 4K-Fassung über 155 GByte.

  4. Zero Client HP t310 G2 All in One mit Full-HD-Display ab 750 Euro

    HP t310 G2: Zero-Client im All-in-One-Format von HP

    Der HP t310 G2 All in One Zero Client ist bereits ab 750 Euro bestellbar.

Anzeige