Proprio quando avevamo pensato di aver sentito di tutto sull’hackeraggio di dispositivi connessi a Internet, la conferenza Black Hat ci stupisce ancora.
Potremmo pensare ai dispositivi più moderni o bizzarri come i Google Glass… ma ci sbagliamo. Non ci crederete mai, per indovinare dovreste rileggere il titolo del post.
I ricercatori Billy Rios e Jonathan Butts hanno scoperto che anche gli autolavaggi possono essere hackerati. Ok, siamo coscienti che la cosa non sembra essere troppo entusiasmante, tuttavia i ricercatori ci fanno notare che per la prima volta potrebbero aver scoperto un exploit in grado di provocare un danno fisico a un essere umano (Nota editoriale: anche gli hacker di una Jeep potrebbero sostenere lo stesso).
I due ricercatori veterani hanno analizzato un sistema di autolavaggio PDQ LaserWash, dopo essere venuti a conoscenza che uno di questi macchinari non impostato correttamente aveva colpito un’automobile con un braccio meccanico inondando l’abitacolo e chi si trovava all’intero del veicolo.
Anche i sistemi di autolavaggio, così come altri dispositivi o macchinari, appartengono alla categoria di oggetti che non necessitano affatto una connessione a Internet. E, come è accaduto per altri disposivi, secondo i ricercatoriil LaserWah utilizzava password di default facili da indovinare.
Una volta all’interno del sistema, i ricercatori sono riusciti a manipolare funzionalità importanti quali aprire e chiudere il portone del garage, spruzzare acqua e disabilitare i sensori infrarossi. Potrebbero sembrare operazioni innocue, tuttavia i ricercatori hanno mostrato un video in cui la portiera del garage si scontrava con l’auto e ciò potrebbe provocare danni importanti al veicolo e alle persone al suo interno. Se gli hacker sono davvero sfacciati, possono inviare un’email con i dettagli dell’incidete o pubblicare su Facebook attraverso la macchina di autolavaggio.
La funzionalità email potrebbe essere utile per i proprietari e i tecnici per rintracciare malfunzionamenti e usi impropri dell’autolavaggio. Ma sinceramente proprio non riusciamo a comprendere perché un autolavaggio dovrebbe permettere di pubblicare qualcosa su Facebook.
I ricercatori, inoltre, hanno notato che per il momento non esiste una patch, nonostante la casa produttrice sia stata informata della vulnerabilità.
Il lavoro di Rios e Butts evidenzia la necessità di cambiare sempre le password di default e di pensarci due volte prima di connettere un dispositivo a Internet. Anche se si trattava di un test su un sistema per lo più innocuo, un autolavaggio resta comunque un mini sistema di controllo industriale che, se utilizzato in modo poco appropriato, può fare del male a persone innocenti.
Speriamo che questo sia il dispositivo più bizzarro hackerato della settimana. Tuttavia, come si suol dire “Quel che succede a Las Vegas.”, o meglio, “Quel che viene hackerato a Las Vegas…” ve ne parleremo qui sul blog e su Facebook.