自动洗车系统漏洞引发首起利用联网设备可物理攻击他人

E安全7月29日讯 安全专家一再警告，将物联网设备连接到易受攻击的公共Wi-Fi或充电点存在风险。如今，黑客事件愈来愈烈，科幻电影中的场景或许就在身边。

最近安全研究人员发现，自动洗车店也加入易遭遇攻击的行列。攻击者可利用联网洗车系统或智能洗车系统的漏洞实施恶性操作，例如困住车辆，甚至将车内乘员置于危险之中。

IT安全研究人员比利·里奥斯和乔纳森·巴特发现，大量美国联网洗车店使用的系统PDQ LaserWash存在严重漏洞，攻击者借助漏洞可远程访问洗车设备，实施恶意、甚至危险的行为。

自动洗车系统如何发起危险的物理攻击？

里奥斯2015年就注意到物联网设备漏洞，此后他花精力尽可能发现易受攻击的设备，并进行分析。

PDQ洗车系统提供无刷式自动洗车服务，通过使用Windows CE（Compact版本）的软件运作，并使用机械臂提供汽车清洗服务。

值得注意的是，Windows CE最初的发布时间为1996年，是一款具有20年历史的老旧操作系统，微软已不再提供相关技术支持。

PDQ洗车系统通过登录凭证进行保护（用户名和密码），易被猜中，尤其自安装以来用户都使用默认密码或弱密码时。研究人员表示，默认登录凭证易于猜测。

一旦获取了登录详情，研究人员便可利用漏洞，发送远程命令至该洗车系统，下达恶意、甚至破坏性指令，例如将车辆困在店内，肆意喷射大量水来冲洗车辆，甚至破坏车身，威胁车内人员安全。

研究人员向MotherBoard表示，他们认为这是首起利用联网设备可物理攻击他人的情形。

这两名研究人员在Black Hat安全大会上演示了研究成果。由于未经洗车店店主同意，研究人员并未公开入侵过程。

这两名研究人员已不是首次发现物联网系统存在严重漏洞。先前，这两人还发现医院药物泵存在漏洞，若被利用，攻击者可远程控制药物剂量致患者死亡。

几个月前，这两名研究人员还暴露了起搏器中存在威胁生命的漏洞，能被利用对目标设备执行潜在勒索软件攻击。

如今这个技术年代，几乎人人都在使用物联网设备。用户应修改默认登录凭证，并使用强密码。此外，更新操作系统，并使用防御网络攻击的保护措施。

转至：E安全