Sicherheitsforscher haben bei einer vernetzten Autowaschanlage eine Schwachstelle aufgedeckt, die im schlimmsten Fall dazu führen könnte, dass Menschen verletzt werden. Angreifer könnten die Lücke aus der Ferne ausnutzen und das Tor öffnen beziehungsweise verschließen und so das Auto beschädigen und Insassen verletzen. Ferner ist die Steuerung des mechanischen Arms möglich, sowie Regulierung der Wasserzufuhr.

Waschstraße in USA und Europa im Einsatz

Konkret betroffen ist die Waschanlage "PDQ LaserWashes", die in den USA weit verbreitet und auch in Europa zu finden ist. In Tschechien, Italien, Slowakei und Polen etwa. Als Betriebssystem ist Windows CE im Einsatz, um eine Fernwartung zu ermöglichen, sind die Maschinen mit dem Internet verbunden. 150 Waschanlagen fanden die Sicherheitsforscher online. Um darauf zuzugreifen, war lediglich die Eingabe des Default-Passworts notwendig – in weiterer Folge konnte die Waschanlage dann über ein Web-Interface kontrolliert werden.

Kein Passwort notwendig, um Zugriff zu erlangen

Zudem wurde eine Lücke im Anmeldungsprozess aufgespürt, die es möglich macht, dass ein Zugriff ganz ohne Passwort erfolgt. Die Forscher haben testweise ein Skript programmiert, das dafür sorgt, dass das Tor immer dann geschlossen wird, wenn ein Auto herausfährt. Kriminelle könnten damit großen Schaden anrichten. Um dem entgegenzuwirken wurde der Hersteller der Anlagen bereits kontaktiert – dieser sicherte zu, dass man die Lücke schließen werde.

Fund wird in Las Vegas präsentiert

Die gesamte Lücke soll diese Woche bei der Black-Hat-Sicherheitskonferenz in Las Vegas präsentiert werden. "Wir denken, dass dies die erste Schwachstelle in einem vernetzten Gerät ist, die dazu führt, dass ein Gerät jemanden attackiert", sagt Billy Rios, Gründer von Whitescope Security, die die Schwachstelle aufgedeckt haben. (red, 29.07.2017)