自动洗车系统漏洞引发首起利用联网设备可物理攻击他人
E安全7月29日讯 安全专家一再警告,将物联网设备连接到易受攻击的公共Wi-Fi或充电点存在风险。如今,黑客事件愈来愈烈,科幻电影中的场景或许就在身边。最近安全研究人员发现,自动洗车店也加入易遭遇攻击的行列。攻击者可利用联网洗车系统或智能洗车系统的漏洞实施恶性操作,例如困住车辆,甚至将车内乘员置于危险之中。IT安全研究人员比利·里奥斯和乔纳森·巴特发现,大量美国联网洗车店使用的系统PDQ LaserWash存在严重漏洞,攻击者借助漏洞可远程访问洗车设备,实施恶意、甚至危险的行为。自动洗车系统如何发起危险的物理攻击?里奥斯2015年就注意到物联网设备漏洞,此后他花精力尽可能发现易受攻击的设备,并进行分析。PDQ洗车系统提供无刷式自动洗车服务,通过使用Windows CE(Compact版本)的软件运作,并使用机械臂提供汽车清洗服务。值得注意的是,Windows CE最初的发布时间为1996年,是一款具有20年历史的老旧操作系统,微软已不再提供相关技术支持。PDQ洗车系统通过登录凭证进行保护(用户名和密码),易被猜中,尤其自安装以来用户都使用默认密码或弱密码时。研究人员表示,默认登录凭证易于猜测。一旦获取了登录详情,研究人员便可利用漏洞,发送远程命令至该洗车系统,下达恶意、甚至破坏性指令,例如将车辆困在店内,肆意喷射大量水来冲洗车辆,甚至破坏车身,威胁车内人员安全。研究人员向MotherBoard表示,他们认为这是首起利用联网设备可物理攻击他人的情形。这两名研究人员在Black Hat安全大会上演示了研究成果。由于未经洗车店店主同意,研究人员并未公开入侵过程。这两名研究人员已不是首次发现物联网系统存在严重漏洞。先前,这两人还发现医院药物泵存在漏洞,若被利用,攻击者可远程控制药物剂量致患者死亡。几个月前,这两名研究人员还暴露了起搏器中存在威胁生命的漏洞,能被利用对目标设备执行潜在勒索软件攻击。如今这个技术年代,几乎人人都在使用物联网设备。用户应修改默认登录凭证,并使用强密码。此外,更新操作系统,并使用防御网络攻击的保护措施。转至:E安全
页:
[1]