SempreUpdate SempreUpdate
  • Home
  • Notícias
  • Tutoriais
  • Android
  • Games
  • Contato
Buscar
  • Contact
  • Contact
  • Blog
  • Blog
  • Complaint
  • Complaint
  • Advertise
  • Advertise
© 2022 SempreUpdate - Todos os Direitos Reservados
LENDO: Serviço autônomo de lavajato também pode ser hackeado!
Compartilhe
Entrar
Notificações Veja mais
Últimas notícias
KDE corrigiu muitos bugs com o Plasma 5.25.1 e mais correções estão a caminho
KDE corrigiu muitos bugs com o Plasma 5.25.1 e mais correções estão a caminho
25/06/2022
KDE corrigiu muitos bugs com o Plasma 5.25.1 e mais correções estão a caminho
Linux Kernel Build do Google para Stadia adiciona suporte ao driver NVIDIA
25/06/2022
o-inventor-da-web-tim-berners-lee-quer-descentralizar-sua-criacao
O inventor da Web Tim Berners-Lee quer descentralizar sua criação
25/06/2022
quais-os-motivos-por-tras-da-queda-do-bitcoin
Quais os motivos por trás da queda do Bitcoin?
25/06/2022
EndeavourOS 22.6 "Atermis" melhora suporte ao ARM
EndeavourOS 22.6 “Atermis” melhora suporte ao ARM
25/06/2022
Aa
SempreUpdate SempreUpdate
Aa
  • Home
  • Notícias
  • Tutoriais
  • Android
  • Games
  • Contato
Buscar
  • Home
  • Notícias
  • Tutoriais
  • Android
  • Games
  • Contato
Have an existing account? Entrar
Siga-nos
  • Contact
  • Contact
  • Blog
  • Blog
  • Complaint
  • Complaint
  • Advertise
  • Advertise
© 2022 SempreUpdate - Todos os Direitos Reservados
SempreUpdate > Blog > Linux > Serviço autônomo de lavajato também pode ser hackeado!
Linux

Serviço autônomo de lavajato também pode ser hackeado!

Emanuel Negromonte
Emanuel Negromonte 12/06/2016
Atualizado em 12/06/16 às 5:35 PM
Compartilhe
COMPARTILHE

De acordo com Billy Rios, renomado pesquisador de segurança, um serviço autônomo de lavagem de carros também pode ser hackeado. A interface web no sistema de acesso remoto de uma famosa marca que oferece esse serviço foi estudada por Rios, que constatou a utilização de senhas fracas que são facilmente descobertas, bem como outras características que poderiam permitir que um invasor tenha controle sobre as funções de um lavajato.

Rios decidiu explorar como esse tipo de serviço ficou exposto depois que um amigo seu (que é executivo de uma rede de postos que inclui serviços de lavagens de carro) contou-lhe uma história sobre um acesso indevido a um de seus equipamentos. O resultado causou o movimento do braço rotativo da lavagem que danificou uma minivan, e pulverizou a água para o interior do veículo, molhando os ocupantes do veículo.
O pesquisador procurou os serviços que estão de alguma forma disponíveis online (conectados à Internet), e os encontrou.
“Olhei na Internet alguns serviços de lavagens de carros e encontrei mais de 100 para a PQD LaserWash”. Esta marca executa um servidor web que é utilizado para a administração e controle remoto, além de utilizar o sistema operacional Windows CE e um processador ARM.
“Você pode facilmente acessar o servidor e ter maiores privilégios, pois é apenas uma solicitação HTTP POST”, diz Rios sobre os sistemas de lavagens de carro. Este não é um problema isolado na marca analisada, e sim em outras mil que estão online.
A interface web permite ter acesso às operações da lavagem, bem como para os técnicos poderem ajustar as partes mecânicas.
Todas as chamadas para o servidor web vão para as DLLs, diz Rios. Se um invasor conseguir a senha padrão do administrador e acessar via telnet, terá sob seu controle algumas das operações de lavagem de carro remotamente, e ainda manipular o lado das vendas.

“Você pode acessar o equipamento e obter uma lavagem grátis para o seu veículo apenas com a solicitação HTTP GET”, diz ele. O pedido é enviado para a DLL que inicia o tipo específico de lavagem, se ela é premium ou simples. “Isso realmente não é uma façanha, é uma funcionalidade que está integrada ao dispositivo. Você precisa apenas ter acesso à interface web”.

Uma infinidade de funções podem ser modificadas remotamente, como abrir e fechar as portas do compartimento ou desativar os sensores da lavagem de carro, por exemplo.

“Essas máquinas são muitos perigosas, e normalmente quando você as tem instaladas em algum lugar, elas devem ser operadas somente por técnicos qualificados. Elas podem ferir alguém. Então, quando você começa a colocar esses equipamentos online, o modelo de ameaça muda drasticamente”, disse Rios. Os dispositivos estão fisicamente ligados à lavagem de carro via Modbus, um protocolo de rede industrial muito popular.

A interface web basicamente traduz as solicitações da web para o Modbus, que opera fisicamente o equipamento de lavagem de carro. Rios diz que a possibilidade do acesso remoto às partes mecânicas deve ser bloqueado, pois as falhas de software podem ser facilmente exploráveis, como o SQL Injection e buffer overflow (Estouro de pilha) e, é claro, não se esquecer do uso de autenticação forte em vez de senhas fracas que pode ser facilmente descobertas.
Trey Ford, estrategista de segurança global da Rapid7, diz que os serviços de lavagem de carros são apenas um exemplo de todos os tipos de máquinas e sistemas que estão vulneráveis e disponíveis na Internet. Quando você começa a enviar comandos em nível de máquina, dando a direção para os dispositivos, tais como balançar o braço para fora, você poderá realmente comandar esses dispositivos.
A facilidade de conectar diversos dispositivos e equipamentos nos trás grandes benefícios, mas também cria um ambiente de insegurança que possibilita aos invasores terem acesso à informações críticas, e executarem o que foi relatado acima, dentre outras coisas mais. Vamos ficar atento(a)s!
Até a próxima!
[ads-post]

Leia também

Pasta Segura do Samsung Galaxy adiciona uma camada extra de segurança

Cloudflare passa por ataque DDoS e registra recorde de solicitações por segundo

Phishing pode ter feito muitas vítimas no Dia dos Namorados

GitHub disponibiliza nova ferramenta de identificação e acesso

Qual é o hype em torno do Firewall como um serviço? FWaaS, conheça um pouco mais!

MARCADORES: Noticias, Segurança

Inscreva-se no boletim diário

Receba as últimas notícias de última hora diretamente na sua caixa de entrada.

Receba as novidades

Não se preocupe, não enviamos spam
Ao se inscrever, você concorda com nossos Termos de Uso e reconhece as práticas de dados em nossa Política de Privacidade. Você pode cancelar sua inscrição a qualquer momento.
Emanuel Negromonte 12/06/2016
Compartilhe este artigo
Facebook TwitterEmail Print
Compartilhe
Postador por Emanuel Negromonte
Siga:
Fundador do SempreUPdate. Acredita no poder do trabalho colaborativo, no GNU/Linux, Software livre e código aberto. É possível tornar tudo mais simples quando trabalhamos juntos, e tudo mais difícil quando nos separamos.
Artigo anterior Saiba como consertar imagem invertida da webcam no Skype no GNU/Linux!
Próx Artigo Como ter um Shell do Linux no Windows usando o MSYS2

Permaneça conectado

8.7k Curta
4.5k Siga
3.1k Siga
3.4k Siga

Acabamos de publicar

KDE corrigiu muitos bugs com o Plasma 5.25.1 e mais correções estão a caminho
KDE corrigiu muitos bugs com o Plasma 5.25.1 e mais correções estão a caminho
Notícias
KDE corrigiu muitos bugs com o Plasma 5.25.1 e mais correções estão a caminho
Linux Kernel Build do Google para Stadia adiciona suporte ao driver NVIDIA
Linux Kernel
o-inventor-da-web-tim-berners-lee-quer-descentralizar-sua-criacao
O inventor da Web Tim Berners-Lee quer descentralizar sua criação
Tecnologia
quais-os-motivos-por-tras-da-queda-do-bitcoin
Quais os motivos por trás da queda do Bitcoin?
Notícias

Você pode gostar também

pasta-segura-do-samsung-galaxy-adiciona-uma-camada-extra-de-seguranca
Samsung Galaxy

Pasta Segura do Samsung Galaxy adiciona uma camada extra de segurança

3 Min para leitura
phishing-pode-ter-feito-muitas-vitimas-no-dia-dos-namorados
Notícias

Phishing pode ter feito muitas vítimas no Dia dos Namorados

5 Min para leitura
GitHub disponibiliza nova ferramenta de identificação e acesso
Notícias

GitHub disponibiliza nova ferramenta de identificação e acesso

3 Min para leitura
qual-e-o-hype-em-torno-do-firewall-como-um-servico-fwaas-conheca-um-pouco-mais
Artigo

Qual é o hype em torno do Firewall como um serviço? FWaaS, conheça um pouco mais!

6 Min para leitura
//

Nós influenciamos mais de 2 milhões de pessoas todos os meses. Levamos informação com isenção e responsabilidade.

Outros links

  • Isenção de responsabilidade da parceria e publicidade SempreUpdate
  • Política financiamento e publicidade do SempreUpdate
  • Política de Ética SempreUpdate
  • Política de Correções SempreUpdate
  • Política de verificação de fatos SempreUpdate

Sobre o SempreUpdate

SempreUpdate é um site sobre Linux composto por membros das comunidades Linux ou código aberto. Além de Linux, também falamos sobre conteúdo Geek, e outros assuntos relacionados a tecnologia.

SempreUpdate SempreUpdate
Siga-nos

© 2022 SempreUpdate - Todos Os Direitos Reservados

Removed from reading list

Undo
Bloqueador de anúncios identificado
Nosso site é um site que depende da publicidade. Por favor, nos ajude colocando o noso site na sua lista de exceções!
Okay, I'll Whitelist
Bem vindo de volta!

Faça login em sua conta

Lost your password?