Hvorfor iKettle Hack bør bekymre deg (selv om du ikke eier en)

Annonse

Når det gjelder Smart Home-teknologi, er det ingen mangel på produkter hvis raison d’être er tvilsom, mildt sagt. Faktisk jeg skrev en hel artikkel Tweeting av kjøleskap og nettkontrollerte riskokere: 9 av de dumeste smarte hvitevarerDet er mange smarte hjem enheter som er verdig din tid og penger. men det er også typer som aldri skal se dagens lys. Her er 9 av de verste. Les mer på dem i april i år. Et av enhetene som jeg nevnte var iKettle, av Smarter Labs.

IKettle er en vannkompatibel vannkoker. Ja, du har lest det riktig. Tilsynelatende er oppgaven med å varme vann til kokepunktet noe som bare kan oppnås med WiFi-integrasjon.

Åh, og nevnte jeg at det kom med en massiv, gapende sikkerhetsfeil som hadde potensial til å sprenge hele WiFi-nettverk?

Hvordan angrepet fungerte

Ja, det viser seg at iKettle ikke er for varm (Beklager) når det gjelder sikkerhet. Med bare noen få trinn kan du overbevise den om å hoste brukerens WiFi-passord. Så, hvordan hacker du en kjele?

Først vil angriperen trenge å identifisere et trådløst nettverk med en iKettle tilkoblet. Deretter skulle de opprette sitt eget trådløse nettverk ved hjelp av samme SSID.

Når iKettle bytter til det nettverket, kan angriperen koble seg til det over port 23 bruker Telnet Hva er Telnet og hva er dets bruk? [MakeUseOf Explains]Telnet er et av de teknologiske begrepene du noen ganger kan høre, men ikke i en annonse eller en liste over vaskerier over noe produkt du kan kjøpe. Det er fordi det er en protokoll, eller et språk ... Les mer . Dette er et fritt tilgjengelig verktøy som ligner på SSH, og lar brukere fjernstyrt datamaskiner.

IKettle ber deretter angriperen om en sekssifret passord. Dette kan være brute-tvunget, men hvis kjelen ble satt opp med en Android-enhet, har den standardpassordet til 000000. Når den er autentisert, vil angriperen fortelle kjelen til å liste opp innstillingene. På hvilket tidspunkt vil den spytte ut hele det hurtigbufrede WiFi-passordet i ren tekst, slik at en angriper får tilgang til hele nettverket.

Problemet med ledelse

En talsperson for Smarter Labs var ivrig etter å understreke at en løsning for dette problemet ikke er langt unna.

"Vi tar sikkerhet veldig alvorlig her på Smarter og har samarbeidet med ingeniørene våre for å sikre at de nye produktene våre ikke møter sikkerhetsproblemer. Vi vil oppdatere det påførte produktet i november for å utrydde problemet. "

De understreket også at den kommende iKettle ikke blir berørt:

"Det nye produktet og applikasjonen vår har oppdaterte sikkerhetsfunksjoner som ikke er relevante for [sårbarheten]."

Brukere med en berørt vannkoker kan oppdatere den med iKettle-appen, tilgjengelig for iPhone og Android. I mellomtiden kan det være fornuftig å knytte en andre ruter til hjemmenettverket ditt med en annen SSID, og ​​koble vannkokeren til den. Du kan finne en perfekt tilstrekkelig ruter fra Amazon for så lite som $ 10.

Denne episoden minner oss om hvordan smarthusproduktene vi bruker er egentlig datamaskiner, og hvordan de møter de samme sikkerhetsproblemene som tradisjonelle datamaskiner gjør. Det er bisart å forestille seg at noen bruker Telnet for å koble seg til en vannkoker, men det er tydeligvis noe.

Ettersom Smart Home-feltet uunngåelig modnes, vil produsentene være under økende press for å vurdere sikkerheten til enhetene sine. Og når ting går galt (som de uunngåelig gjør), kan de forvente å få føttene holdt over kullene.

Produsentene må designe produktene sine slik at de er enkle å tilbakestille og oppdatere. De må ta en proaktiv tilnærming til sikkerheten til enhetene sine, og samarbeide med sikkerhetsforskere. De må lære hvordan håndtere avsløring Full eller ansvarlig avsløring: Hvordan sikkerhetsproblemer avsløresSikkerhetssårbarheter i populære programvarepakker oppdages hele tiden, men hvordan rapporteres de til utviklere, og hvordan lærer hackere om sårbarheter som de kan utnytte? Les mer og deres forhold til sikkerhetssamfunnet Oracle ønsker at du skal slutte å sende dem feil - her er hvorfor det er sprøttOracle er i varmt vann over et feilaktig blogginnlegg av sikkerhetssjef, Mary Davidson. Denne demonstrasjonen av hvordan Orakles sikkerhetsfilosofi avviker fra mainstream ble ikke mottatt godt i sikkerhetssamfunnet ... Les mer , som noen har funnet utrolig utfordrende å gjøre.

Produsenter vil måtte vurdere hvordan de skal sikre sikkerheten til enhetene sine, i tilfelle de går. Enda viktigere er at de må etablere en enighet med kundene om hvor lenge de forventes å opprettholde et bestemt produkt.

Uplanlagt foreldelse

En venn av meg har en mikrobølgeovn bokstavelig talt eldgamle. Det høres ut som hyperbole, men det er det ikke. Han arvet den fra foreldrene, som på sin side kjøpte den fra et nå nedslått hypermarked på 1980-tallet. La meg sette det i sammenheng: mikrobølgeovnen hans er det eldre enn meg.

Men her er tingen; det er en perfekt tilstrekkelig mikrobølgeovn. Nesten tretti år kan det fortsatt gjøre et frossent lasagne-ferdigmåltid til et dampende basseng med smeltet ost, og det kan fremdeles lett tine frosset kjøtt. Det er bokstavelig talt ingen grunn til å erstatte det.

Det er tingen med tradisjonelle hvitevarer. De er ikke underlagt det samme syklus av planlagt foreldelse Du skal forbruke: Historien om forbrukerelektronikk [Feature]Hvert år presenterer utstillinger over hele verden nye høyteknologiske enheter; dyre leker som kommer med mange løfter. De har som mål å gjøre livene våre enklere, morsommere, superkoblet, og selvfølgelig er de status ... Les mer som mest teknisk er. Det er ikke noe som heter en "kjøleskapoppdateringssyklus". Det er ikke noe som heter "to år oppgradering" i hvitevarer verden.

En annen ting: Min venns mikrobølgeovn ble produsert i et land som ikke lenger eksisterer (Den tyske demokratiske republikken, også kjent som Øst-Tyskland), av et selskap som på lignende måte har opphørt å eksistere. Men det er ikke noe hinder for at han lager ostete mikrobølgeovn-nachos, tretti år etter.

Det er en annen sak for smarthusteknologi. Det er høyst sannsynlig at den datastyrte vannkoker eller paraply med WiFi-aktivering vil trenge periodisk ytelse og sikkerhetsoppdateringer.

Problemet er, programmerere er dyrt, og det er grunnleggende urealistisk å forvente at programvareselskaper opprettholder produktene sine på ubestemt tid. Etter hvert må de gi slipp på det, som Microsoft gjorde med Windows XP Hva Windows XPocalypse betyr for degMicrosoft kommer til å drepe støtten for Windows XP i april 2014. Dette har alvorlige konsekvenser for både bedrifter og forbrukere. Dette er hva du bør vite om du fremdeles kjører Windows XP. Les mer tidlig i 2014.

Så er det den lille saken om at teknologiselskaper har en tendens til etter hvert å implodere som The Death Star, og etterlater et fjell av salgsfremmende laptop-klistremerker og nå-ikke-støttet kode i deres kjølvann. For å gi deg bare tre (av mange) eksempler, er det Silicon Graphics, Palm og Commodore.

Hvis du kjøper et produkt som iboende trenger mye styring bare for å holde det trygt og fungere jevnt, tar du en gamble som selskapet vil holde seg rundt for å støtte det. Det er ikke alltid en sikker innsats.

Beskytte tingenes internett

Akkurat nå er tingenes internett en begynnende idé, fremdeles halvformet. Det er fremdeles et eksperiment, med mange titalls spørsmål som fortsatt ikke er besvart.

Bør produsenter være ansvarlige for sikkerheten til produktene de selger? I så fall, i hvilken grad?

Bør det rimeligvis forventes at et selskap støtter et IoT- eller Smart Home-produkt? I så fall, hvor lenge?

Hva skjer hvis produsenten svikter? Mange nystartede selskaper har lovet å gi ut koden under det offentlige domene, hvis de skulle mislykkes. Bør smarthusprodusenter tvinges til å gjøre det samme?

Er det noe forbrukere kan gjøre for å sikre at maskinvaren deres er sikker? I så fall, hva?

Disse spørsmålene vil bli besvart i tide. Men inntil de er, mistenker jeg at flertallet av forbrukerne vil være tilbakeholdne med å omfavne tingenes internett.

Men hva tror du? Legg igjen en kommentar nedenfor, så snakker vi.