据外媒Cnet报道,卡巴斯基实验室的研究人员上个月发布了关于加油站漏洞的研究报告,指出从美国到印度的1000多个加油站可能面临网络攻击。这些问题来自能连接到互联网的加油站控制器,所有者无法更改默认密码,攻击者完全可以访问机器。
上周五,卡巴斯基实验室高级安全研究员Ido Naor和以色列安全研究员Amihai Neiderman在卡巴斯基在墨西哥坎昆举行的安全分析师峰会期间,就加油站的安全问题展开了全面分析。他们的研究表明,攻击者可以改变汽油价格,窃取记录在控制器上的信用卡信息,获取车牌号码,造成油料泄露,调整温度监控器等等。
Neiderman解释称:“当我们获取root权限时,我们可以做任何我们想做的事情。”Naor则表示,攻击者甚至不需要到当地加油站附近的任何地方。这些加油站的控制器都能连接到互联网,而且密码安全性较低,因此可以远程完成。
该在线软件来自Orpak Systems,这家燃料管理公司于去年5月被北卡罗来纳州的Gilbarco Veeder-Root公司收购 。据Orpak称,其软件已安装在全球超过35000个加油站。Orpak将其指南放在网上,展示了加油站技术的细节,包括如何访问其界面的密码和屏幕截图。这些公司没有回应置评请求。
这些漏洞突出了物联网设备背后的问题,因缺乏安全性而受到广泛批评。由于在线连接了不安全的网络摄像头和DVR,黑客已经能够发起大规模的网络攻击。Naor表示,但是在加油站,危险攻击的风险要高得多。在极端情况下,黑客可能会调整油箱内的压力和温度,可能导致爆炸。
Naor和Neiderman表示,他们在2017年与供应商联系,但大多被忽视。Neiderman称,这些漏洞很可能仍然存在。这些机器已经过时,有时甚至超过十年,软件也是如此,他补充道。
