Um grupo de pesquisadores de segurança divulgou nesta semana, em entrevista ao site Motherboard, a descoberta do que pode ser a primeira falha de segurança em dispositivos conectados à internet a permitir que hackers causem danos físicos às vítimas.

A história toda gira em torno de um software chamado PDQ LaserWash, que é um sistema totalmente automatizado popular entre diversas redes de lava-rápidos dos Estados Unidos. Segundo Billy Rios, fundador da Whitescope Security, e Jonathan Butts, da QED Secure Solutions, esse programa pode ser hackeado para atacar carros passando por uma limpeza.

A falha encontrada pelos pesquisadores permite que hackers controlem remotamente os sistemas de túneis de lavagem automatizados, em que um braço robótico executa a limpeza e sensores identificam quando é hora de ensaboar, enxaguar e abrir ou fechar as portas de saída do drive-thru.

O PDQ LaserWash roda em Windows CE e tem um servidor web interno que permite que os técnicos do lava-rápido configurem sua operação pela internet. O problema é que os sistemas de segurança do programa são muito rudimentares e fáceis de serem burlados por hackers minimamente experientes.

No começo deste ano, os pesquisadores conseguiram invadir o sistema de um lava-rápido que se candidatou a ser cobaia do experimento. Com um simples script, eles puderam usar o braço robótico dentro do túnel de lavagem para destruir o próprio carro, trancá-lo lá dentro e até controlar a porta de saída para esmagá-lo.

Em tese, hackers poderiam fazer isso com qualquer outro lava-rápido usando o mesmo software de automação e, assim, destruir carros ou até mesmo ferir seus ocupantes. A empresa por trás do PDQ LaserWash foi informada sobre a falha de segurança no software e garantiu que está trabalhando em atualizações para corrigi-la.