Immer wieder rauscht das automatische Rolltor auf die Motorhaube des Pick-up-Trucks. Am Steuer: Billy Rios, der zusammen mit Dr. Jonathan Butts im Rahmen der Black Hat 2017 die Ergebnisse eines erfolgreichen Angriffs auf Waschstraßen vom Typ PDQ LaserWash durch Videoaufzeichnungen demonstrierte; die Waschstraßen sind in den weitflächigen USA oft anzutreffen, da sie vollautomatisch ohne Bedienpersonal funktionieren. An sich hätte ein Infrarotsensor verhindern sollen, dass sich das Tor schließt, wenn ein Auto oder ein Mensch darunter stehen.

Die Hacker konnten die Steuerungssoftware jedoch von außen manipulieren, die Sensorabfrage umgehen und dann das Kommando zum Schließen an den ARM-basierten Steuerungscomputer schicken. Den Hackern zufolge sei dies der erste dokumentierte Angriff, bei dem ein IoT-Gerät einen Menschen angreift. Erschreckend daran ist, dass die Attacke sogar über das Internet durchgeführt werden kann. Rios fand über 150 dieser Waschstraßen mit der IoT-Suchmaschine Shodan. Sie wurden wahrscheinlich ins Netz gehängt, damit sie E-Mails mit Statusmeldungen und Trendanalysen an die Betreiber verschicken können.

Veraltetetes Windows und diverse Bugs

Die vom Hersteller installierte Software zur Anlagensteuerung läuft auf dem nicht länger mit Sicherheitsupdates versorgten Windows CE und hat diverse Bugs. Durch Missbrauch eines dieser Bugs kann ein Angreifer die Nutzerauthentifizierung umgehen und sich mit dem auf jeder Anlage vorhandenen Konto des Anlagenbetreibers anzumelden. Dazu muss der Angreifer lediglich eine nicht standardkonforme HTTP-Auth-Anfrage mit manipuliertem Header an die Webserverkomponente des Steuercomputers schicken. Die Software kann damit nichts anfangen und loggt den Hacker ohne Passwortabfrage als "Owner" ein; das voreingestellte Passwort für diesen Account lautet übrigens 12345.

Laut Rios kann durch Kommunikation mit einer der zahlreichen DLLs, auf denen die Software basiert, auch der Wasserstrahl auf einen zwischen den Toren eingesperrten Menschen gerichtet werden. Wahlweise solle sich der Arm, der das Wasser versprüht, so ausrichten lassen, dass er das Auto beschädigt. Letzteres haben die Forscher aber aus naheliegenden Gründen nicht ausprobiert. Die Videos, die die übrigen Manipulationen belegen, dürfen Rios und Butts nicht veröffentlichen: Der Betreiber der Waschstraße, der seine Anlage für die Tests zur Verfügung stellte, untersagte die Veröffentlichung.

Den Hersteller PDQ hatten die Forscher erstmals Anfang 2015 auf die Schwachstellen aufmerksam gemacht und in der Folge immer wieder. Reaktion: keine. Erst als der Vortrag auf der Black-Hat-Website gelistet wurde, erkundigte sich der Hersteller, wo die Hacker ihre Tests gemacht haben. Ein Update der Software sei trotz der dokumentierten Risiken nicht geplant. Um Manipulationen zu verhindern, sollten Betreiber zumindest die Steuerrechner mit einer Firewall vor dem Internet verbergen und die voreingestellten Passwörter ändern. Grundsätzlich wünscht sich Billy Rios jedoch, dass Hersteller wie PDQ sich nicht alleine auf Softwarekomponenten verlassen, um Hardwarekomponenten abzusichern. (ju)