Waarom de iKettle-hack je zorgen moet maken (zelfs als je er zelf geen hebt)
Als het gaat om Smart Home-technologie, is er geen tekort aan producten waarvan de raison d'être twijfelachtig is, op zijn zachts gezegd. Sterker nog, ik schreef een heel artikel Tweeting koelkasten en webgestuurde rijstkokers: 9 van de stomste Smart Home Appliances Tweeting koelkasten en Web Controlled rijstkokers: 9 van de stomste Smart Home Appliances Er zijn veel slimme apparaten voor thuis die het waard zijn uw tijd en geld. maar er zijn ook soorten die nooit het daglicht zouden moeten zien. Dit zijn 9 van de slechtste. Lees meer over hen in april van dit jaar. Een van de apparaten die ik noemde, was de iKettle van Smarter Labs.
iKettle 2.0 (wordt geleverd met UK Plug en vereist US Power Converter) iKettle 2.0 (wordt geleverd met UK Plug en vereist US Power Converter) Nu kopen bij Amazon
De iKettle is een waterkoker met WiFi-ondersteuning. Ja, je leest het goed. Blijkbaar is de taak om water tot het kookpunt te verwarmen iets dat alleen kan worden bereikt met WiFi-integratie.
Oh, en heb ik al gezegd dat het kwam met een enorme, gapende beveiligingsfout die het potentieel had om hele WiFi-netwerken open te blazen?
Hoe de aanval werkte
Ja, het blijkt dat de iKettle niet te warm is (Sorry) als het gaat om beveiliging. Met slechts een paar stappen kunt u het overtuigen om het WiFi-wachtwoord van de gebruiker op te hoesten. Dus, hoe hack je een waterkoker?
Ten eerste zou de aanvaller een draadloos netwerk moeten identificeren met een aangesloten iKettle. Vervolgens zouden ze hun eigen draadloze netwerk maken met dezelfde SSID.
Wanneer de iKettle overschakelt naar dat netwerk, kan de aanvaller via poort 23 verbinding maken via Telnet. Wat is Telnet en wat zijn zijn toepassingen? [MakeUseOf Explains] Wat is Telnet en wat zijn zijn toepassingen? [MakeUseOf Explains] Telnet is een van die technische termen die u af en toe hoort, maar niet in een advertentie- of een waslijst met functies voor producten die u misschien koopt. Dat komt omdat het een protocol is of een taal ... Lees meer. Dit is een vrij beschikbare tool die vergelijkbaar is met SSH en waarmee gebruikers op afstand computers kunnen beheren.
De iKettle zal de aanvaller vervolgens vragen om een toegangscode van zes cijfers. Dit kan brute-geforceerd zijn, maar als de waterkoker is ingesteld met een Android-apparaat, heeft deze het standaardwachtwoord van 000000. Nadat de aanvaller is geverifieerd, vertelt hij de waterkoker om de instellingen te vermelden. Op dat moment spuugt het het gehele in de cache opgeslagen wifi-wachtwoord uit in platte tekst, zodat een aanvaller toegang heeft tot het volledige netwerk..
Het probleem van management
Een woordvoerder van Smarter Labs wilde graag benadrukken dat een oplossing voor dit probleem niet ver weg is.
“We nemen beveiliging hier erg serieus bij Smarter en werken samen met onze technici om ervoor te zorgen dat onze nieuwe producten geen beveiligingsproblemen ondervinden. We zullen het getroffen product in november bijwerken om dit probleem te verhelpen.”
Ze benadrukten ook dat de komende iKettle niet zal worden beïnvloed:
“Ons nieuwe product en onze applicatie hebben bijgewerkte beveiligingsfuncties die niet relevant zijn voor [de kwetsbaarheid].”
Gebruikers met een getroffen waterkoker kunnen dit bijwerken met de iKettle-app, beschikbaar voor iPhone en Android. In de tussentijd is het misschien verstandig om een tweede router aan uw thuisnetwerk toe te voegen met een andere SSID en uw waterkoker daarmee te verbinden. Je kunt een perfect passende router van Amazon vinden voor slechts $ 10.
Deze aflevering herinnert ons eraan hoe de slimme huisproducten die we gebruiken zijn in wezen computers, en hoe ze worden geconfronteerd met dezelfde beveiligingsproblemen die traditionele computers hebben. Het is bizar om je voor te stellen dat iemand Telnet gebruikt om verbinding te maken met een waterkoker, maar blijkbaar is het iets.
Naarmate het Smart Home-veld onvermijdelijk ouder wordt, zullen fabrikanten onder toenemende druk komen te staan om de veiligheid van hun apparaten te overwegen. En wanneer er iets fout gaat (zoals ze onvermijdelijk doen) kunnen ze verwachten dat hun voeten boven de kolen worden gehouden.
Fabrikanten zullen hun producten zodanig moeten ontwerpen dat ze eenvoudig kunnen worden gereset en kunnen worden bijgewerkt. Ze moeten een proactieve houding aannemen ten aanzien van de beveiliging van hun apparaten en samenwerken met beveiligingsonderzoekers. Ze moeten leren hoe ze openbaarmaking moeten beheren Volledige of verantwoorde openbaarmaking: hoe beveiligingskwetsbaarheden worden onthuld Volledige of verantwoorde openbaarmaking: hoe beveiligingskwetsbaarheden worden onthuld Veiligheidsrisico's in populaire softwarepakketten worden voortdurend ontdekt, maar hoe worden deze gemeld aan ontwikkelaars, en hoe leren hackers over kwetsbaarheden die ze kunnen misbruiken? Lees meer en hun relaties met de beveiligingsgemeenschap Oracle wil dat u stopt met het versturen van die bugs - hier is waarom dat gek is Oracle wil dat u stopt met het verzenden van die bugs - hier is waarom dat gekke orakel in heet water is over een misplaatste blogpost van veiligheidsleider, Mary Davidson. Deze demonstratie van hoe de beveiligingsfilosofie van Oracle afwijkt van de mainstream, werd niet goed ontvangen in de beveiligingsgemeenschap ... Lees meer, wat sommigen ongelofelijk uitdagend vonden om te doen.
Fabrikanten zullen moeten overwegen hoe ze de beveiliging van hun apparaten kunnen waarborgen, in het geval ze failliet gaan. Wat nog belangrijker is, zij zullen een consensus moeten bereiken met hun klanten over hoe lang verwacht wordt dat ze een bepaald product zullen behouden.
Ongeplande veroudering
Een vriend van mij heeft een magnetron letterlijk oud. Het klinkt als hyperbool, maar dat is het niet. Hij heeft het geërfd van zijn ouders, die het op hun beurt kochten in een inmiddels niet meer gebruikte hypermarkt in de jaren tachtig. Laat ik dat in context plaatsen: zijn magnetron is ouder dan ik.
Maar hier is het ding; het is een perfect passende magnetron. Bijna dertig jaar later kan het een ingevroren lasagne-kant-en-klare maaltijd in een stomende pool van gesmolten kaas veranderen en kan het bevroren vlees nog steeds gemakkelijk ontdooien. Er is letterlijk geen reden om het te vervangen.
Dat is het ding over traditionele witgoed. Ze zijn niet onderhevig aan dezelfde cyclus van geplande veroudering die je zult consumeren: het verhaal van consumentenelektronica [functie] dat je zult consumeren: het verhaal van consumentenelektronica [functie] Elk jaar presenteren tentoonstellingen over de hele wereld nieuwe hightech-apparaten; duur speelgoed dat met veel beloftes komt. Ze willen ons leven gemakkelijker, leuker, super verbonden, en natuurlijk zijn ze status ... Lees meer dat de meeste technologie is. Er is niet zoiets als een “koelkast verversingscyclus”. Er is niet zoiets als een “twee jaar upgrade” in de witgoedwereld.
Een ander ding: de magnetron van mijn vriend werd vervaardigd in een land dat niet meer bestaat (de Duitse Democratische Republiek, ook bekend als Oost-Duitsland), door een bedrijf dat op vergelijkbare wijze ophoudt te bestaan. Maar dat is geen beletsel voor hem om dertig jaar later kaasachtige microgolf nacho's te maken.
Het is een andere zaak voor slimme thuistechnologie. Het is zeer waarschijnlijk dat uw computergestuurde waterkoker of paraplu met WiFi-functie periodieke prestaties en beveiligingsupdates vereist.
Het probleem is, programmeurs zijn duur, en het is fundamenteel onrealistisch om te verwachten dat softwarebedrijven hun producten voor onbepaalde tijd behouden. Uiteindelijk moeten ze het loslaten, zoals Microsoft deed met Windows XP. Wat de Windows XPocalypse voor jou betekent Wat de Windows XPocalypse voor jou betekent Microsoft gaat de ondersteuning voor Windows XP in april 2014 omzeilen. Dit heeft ernstige gevolgen voor zowel bedrijven en consumenten. Dit is wat u moet weten als u nog steeds Windows XP gebruikt. Lees meer vroeg in 2014.
Dan is er het kleine probleem van tech-bedrijven die de neiging hebben om uiteindelijk te imploderen als The Death Star, waardoor een berg met promotionele laptopstickers en nu niet-ondersteunde code achterblijft. Om u slechts drie (van vele) voorbeelden te geven, is er Silicon Graphics, Palm en Commodore.
Als u een product koopt dat inherent veel beheer nodig heeft om het veilig te houden en soepel te laten werken, neemt u een gok dat het bedrijf zal blijven rondhangen om het te ondersteunen. Dat is niet altijd een veilige gok.
Het internet der dingen beschermen
Op dit moment is het internet der dingen een ontluikend idee, nog steeds half gevormd. Het is nog steeds een groot experiment, met tientallen vragen die nog steeds niet zijn beantwoord.
Moeten fabrikanten verantwoordelijk zijn voor de beveiliging van de producten die zij verkopen? Zo ja, in welke mate?
Moet een bedrijf redelijkerwijs worden geacht een IoT- of Smart Home-product te ondersteunen? Zo ja, hoe lang?
Wat gebeurt er als de fabrikant faalt?? Veel startups hebben beloofd hun code onder het publieke domein vrij te geven als ze falen. Moeten slimme thuisfabrikanten gedwongen worden hetzelfde te doen?
Kunnen consumenten iets doen om ervoor te zorgen dat hun hardware veilig is?? Zo ja, wat?
Deze vragen zullen tijdig worden beantwoord. Maar tot ze zover zijn, vermoed ik dat de meerderheid van de consumenten terughoudend zal zijn om de wereld van Internet of Things te omarmen.
Maar wat denk je ervan? Laat hieronder een opmerking achter en we zullen chatten.
Ontdek meer over: Security Breach, Smart Appliance.