#BHUSA
Justo cuando creías haber escuchado de todo respecto al hackeo de dispositivos conectados, Black Hat aparece y te hace reconsiderar sobre lo que creías que era posible de hackear.
Seguramente lo primero que te viene a la mente es el último wearable IoT conectado o algo extraño como Google Glass, ambas buenas suposiciones, pero no las correctas. Es muy probable que nunca lo adivines, pero esperaremos a que vuelvas a leer el título de este post.
Investigadores como Billy Rios y Jonathan Butts, descubrieron que los lavados de coches podían ser hackeados. Ya lo sé, no suena tan emocionante, pero los investigadores también se dieron cuenta de la posibilidad de haber descubierto el primer exploit que podría causar daños físicos a una persona. [Nota del editor: Los hackers del Jeep podrían no estar de acuerdo].
Los investigadores veteranos se metieron al sistema de LaserWash después de haber escuchado que una máquina desconfigurada había golpeado a un coche con un brazo mecánico, mojando a las personas dentro del coche.
Al igual que muchos dispositivos IoT y máquinas, los lavados de coches pueden entrar al listado de “Cosas que no creías que tuvieran que estar conectadas a Internet”. Y como muchos dispositivos, el LaserWash tenía contraseñas por defecto, las cuales eran muy fáciles de adivinar, según los investigadores.
Una vez dentro del sistema, los investigadores fueron capaces de encontrar áreas de manipulación, incluyendo el abrir y cerrar de puertas, echar agua, desactivar sensores infrarrojos. Esto puede parecer inofensivo, pero los investigadores también mostraron un video donde provocaron el choque de la puerta de la plataforma con un coche, lo cual podría causar daños severos en el coche o a la gente que está adentro. Si los hackers fueran más atrevidos, podrían enviar un email detallando el accidente o publicarlo directamente en Facebook.
El email podría ser útil para los dueños del negocio y técnicos para darle seguimiento a problemas y usos del autolavado. Aún no logro entender por qué un autolavado tendría la necesidad de poder publicar en Facebook.
Los investigadores también descubrieron que, aunque divulgaron la vulnerabilidad al fabricante, no existe un parche como Black Hat 2017.
El trabajo de Rios y Butts destaca la necesidad de cambiar las contraseñas por defecto y pensar dos veces antes de conectar un dispositivo a Internet. Aunque esto fue una prueba en un sistema “benigno”, un autolavado es un mini sistema de control industrial que si se usa inapropiadamente, podría infligir dolor y sufrimiento a gente inocente.
Espero que este termine siendo el hackeo más raro de la semana. Pero como dicen, “Lo que pasa en Las Vegas…” de hecho, olvídalo, te contaremos más en Kaspersky Daily y lo compartiremos en Facebook.
Consejos