Основатель ИБ-компании Whitescope Билли Райос (Billy Rios) выступил на конференции Black Hat с интересным докладом, посвященным небезопасности IoT-устройств. Казалось бы, о том, что интернет вещей пора переименовывать в «интернет уязвимых вещей» всем и без того известно.
Достаточно вспомнить взломы автомобилей, вибраторы, с множеством уязвимостей, баги в медицинском оборудовании или недавний взлом казино, осуществленный через «умный» аквариум.
Однако Райос объединил усилия с Джонатаном Баттсом (Jonathan Butts) из компании QED Secure Solutions и рассказал о не совсем обычном хаке: исследователям удалось скомпрометировать полностью автоматизированную бесконтактную автомойку PDQ LaserWash. По их словам, такой взлом может быть очень опасен и даже способен создать угрозу чужой жизни,
«Мы уверены, что это первый взлом сетевого устройства, который может заставить устройство напасть на кого-нибудь», — рассказал Райос в беседе с журналистами Vice Motherboard.
Мойки PDQ LaserWash очень популярны в США, так как полностью автоматизированная система не требует постоянного присмотра со стороны оператора. Зачастую такие мойки устанавливают вместе с механизированными дверями, которые можно запрограммировать открываться и закрываться автоматически, а управление процессом мойки автомобиля осуществляет сам водитель, посредством выбора нужных процедур на сенсорном дисплее. Такие системы работают под управлением Windows CE и имеют встроенный веб-сервер, который позволяет настроить систему и следить за ее работой удаленно. И именно в этом кроется проблема.
Райос рассказал журналистам, что начал экспериментировать со взломом моек, после того как услышал от друга об инциденте годичной давности, когда автоматизированная мойка «атаковала» минивен с сидящими внутри людьми из-за неправильно установленных настроек. Тогда водитель предпочел повредить машину и саму мойку, стремясь поскорее уехать от жуткого устройства.
Еще в 2015 году Райос с коллегами представил доклад об уязвимостях моек PDQ на конференции Kaspersky Security Summit. Но до недавнего времени специалистам не удавалось проверить найденные уязвимости на практике. Лишь недавно владельцы автомойки в Вашингтоне согласились сотрудничать с исследователями, если те будут использовать для экспериментов свою машину.
Хотя для доступа к системам PDQ нужны логин и пароль, Райос говорит, что подобрать дефолтные учетные данные не составляет никакого труда. К тому же в процессе аутентификации была обнаружена уязвимость, которая позволяет вообще обойти этот этап.
Далеко не все системы PDQ «смотрят» в онлайн, но с помощью поисковика Shodan специалистам удалось обнаружить более 150 моек. Затем исследователи создали полностью автоматизированный скрипт, который обходит аутентификацию, дожидается, когда в мойку заезжает автомобиль (системы мойки отслеживают такие события), а потом атакует транспортное средство, ударяя его выходной дверью в нужное время. По сути, атакующему лишь нужно знать IP-адрес мойки и запустить вредоносный скрипт. Кроме того, злоумышленник может приказать мойке закрыть одну или обе двери, заблокировав машину внутри.
Хотя инфракрасные датчики должны определять, когда на пути закрывающейся двери есть препятствие, и в таком случае дверь не должна опускаться, исследователи сумели обойти этот запрет. Также им удалось перехватить управление манипуляторами самой мойки, благодаря чему можно заставить механическую «руку», к примеру, поливать автомобиль водой без остановки, мешая запертым внутри людям сбежать. Также, в теории, манипулятор можно заставить стукнуть машину, так как встроенные механизмы безопасности, препятствующие этому, тоже можно обмануть.
«Если вы всецело полагаетесь за защитные механизмы софта, это не сработает, если уже существует эксплоит. Единственное, что может сработать, это аппаратные защитные решения», — говорит Райос.
К сожалению, владельцы автомойки, в которой исследователи проводили свои тесты, не разрешили специалистам опубликовать видео, на котором запечатлен весь процесс взлома системы, хотя все было записано на камеру.
Специалисты уже уведомили о своих находках производителя и Министерство национальной безопасности. Представители PDQ подтвердили, что им известно об уязвимостях, и они уже работают над их устранением.
Mozilla в очередной раз обозначила свою позицию в отношении поддержки расширений на основе Manifest V2 в Firefox, несмотря на постепенный переход большинства браузеров на Manifest V3.
Решение разработчиков «лисы» позволит людям использовать любимые расширения, которые уже зарекомендовали себя, фактически став незаменимыми при веб-сёрфинге.
С введением Manifest V3 разработчики ряда браузеров начали постепенно отказываться от поддержки аддонов, несовместимых с новой спецификацией.
Одним из наиболее ярких примеров стало отключение uBlock Origin в Google Chrome. Этот блокировщик рекламы насчитывает более 38 миллионов загрузок в Chrome Web Store.
Буквально на днях мы писали, что Google начала отключать uBlock в Chrome из-за перехода на Manifest V3. Для корпоративных клиентов и отдельных категорий юзеров «корпорация добра» оставит возможность использовать старые расширения до июня 2025 года.
Стоит отметить, что несмотря на адаптацию разработчиков аддонов и переход на Manifest V3, те же блокировщики рекламы не смогут так же эффективно «резать» надоедливый контент.
В этом смысле, безусловно, подкупает позиция Mozilla, где заявили:
«В Firefox поддержка Manifest V2 будет сосуществовать с поддержкой Manifest V3. Оба API — как “blockingWebRequest“, так и “declarativeNetRequest“ (отвечают за MV3 и MV2 соответственно) — будут работать в нашем браузере».
Таким образом, пользователям uBlock Origin не придётся переживать за функциональность блокировщика рекламы.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
