Digital Life
27.07.2017

Hack: Autowaschanlage könnte Menschen attackieren

Über eine Schwachstelle in einer vernetzten Waschstraße können Angreifer die Geräte so manipulieren, dass sie Menschen verletzen.

Eine Gruppe an Sicherheitsforschern hat laut einem Bericht bei Motherboard Schwachstellen in vernetzten Autowaschanlagen gefunden. Demnach können Angreifer die Tore aus der Ferne öffnen oder verschließen und so Autos beschädigen sowie im schlimmsten Fall sogar Insassen verletzen. Sie können außerdem den eingebauten mechanischen Arm steuern, um damit Menschen oder Autos anzugreifen sowie die Wasserzufuhr steuern.

„Wir glauben, das ist die erste Lücke in einem vernetzten Gerät, die dazu führen kann, dass es jemanden physisch attackiert“, so Billy Rios, Gründer von Whitescope Security, die die Schwachstelle aufgedeckt haben. Die Ergebnisse präsentieren sie diese Woche auf der Black Hat Sicherheitskonferenz in Las Vegas.

Windows

Konkret betroffen ist die Waschanlage „PDQ LaserWashes“, die in den USA immer beliebter wird. Auch in Europa wird das Modell in mehreren Ländern vertrieben, darunter Tschechien, die Slowakei Italien, oder Polen. Die Anlage läuft mit Windows CE und ist oftmals mit dem Internet verbunden, so, dass sie von Technikern aus der Ferne überprüft und gewartet werden kann. Angestellte vor Ort sind nicht notwendig. Die Experten fanden laut eigenen Angaben 150 Waschstraßen, die online und demnach angreifbar waren.

Eine der möglichen Attacken ist äußerst simpel und basiert auf einem schwachen Default-Passwort, das bei der Anlage standardmäßig voreingestellt ist. Über ein Webinterface können Angreifer die Waschanlage so kontrollieren.

Automatisches Script

Abgesehen von dem schwachen Passwort hat Whitescope Security noch eine Lücke im Authentifizierungsprozess entdeckt, wodurch Angreifer ohne jegliche Zugangsdaten in das System eindringen können. Die Forscher haben ein Skript programmiert, das das Tor der Anlage genau dann schließt, wenn ein Fahrzeug herausfahren will. In das Script müsse man lediglich die IP-Adresse der Anlage eintragen, die man steuern will.

Die Sicherheitsforscher haben den Hersteller sowie US-amerikanische Behörden bereits über ihre Entdeckung informiert. Ein Sprecher von PDQ erklärte gegenüber Motherboard, dass die Lücken bereits untersucht werden und dass daran gearbeitet wird, sie zu schließen.

Internet der Dinge

Experten warnen regelmäßig davor, dass die zunehmende Vernetzung von Geräten auch Risiken birgt. Unter anderem die TU Graz beschäftigt sich intensiv damit, wie man das Internet der Dinge künftig sicherer machen könnte. Eine Demonstration, welche Gefahren von vernetzten Alltagsgegenständen ausgehen, gab es unter anderem auf der CeBIT, wo Besucher ein smartes Geisterhaus besuchen konnten.