Warum der iKettle-Hack Ihnen Sorgen bereiten sollte (selbst wenn Sie keinen besitzen)
An Smart-Home-Technologie mangelt es nicht an Produkten, deren Existenzzweck fragwürdig ist. In der Tat schrieb ich einen ganzen Artikel: Tweeting-Kühlschränke und webgesteuerte Reiskocher: 9 der stupidest Smart Home Appliances Tweeten-Kühlschränke und webgesteuerte Reiskocher: 9 der dümmsten Smart Home Appliances Es gibt viele intelligente Haushaltsgeräte, die es wert sind Ihre Zeit und Ihr Geld. Es gibt aber auch Arten, die niemals das Tageslicht sehen sollten. Hier sind 9 der schlechtesten. Lesen Sie mehr dazu im April dieses Jahres. Eines der Geräte, die ich erwähnt habe, war der iKettle von Smarter Labs.
iKettle 2.0 (wird mit UK-Stecker geliefert und benötigt einen US-Leistungswandler) iKettle 2.0 (wird mit einem UK-Stecker geliefert und benötigt einen US-Leistungswandler) Kaufen Sie jetzt bei Amazon
Der iKettle ist ein WiFi-fähiger Wasserkocher. Ja, das hast du richtig gelesen. Anscheinend ist die Aufgabe, Wasser bis zum Siedepunkt zu erwärmen, etwas, was nur mit WiFi-Integration erreicht werden kann.
Oh, und habe ich schon erwähnt, dass es einen massiven, klaffenden Sicherheitsfehler gab, der das Potenzial hatte, ganze WLAN-Netzwerke aufzubrechen?
Wie der Angriff funktionierte
Ja, es stellt sich heraus, dass der iKettle nicht zu heiß ist (Es tut uns leid) wenn es um Sicherheit geht. Mit nur wenigen Schritten können Sie es überzeugen, das WLAN-Passwort des Benutzers zu verwenden. Wie hackt man einen Wasserkocher??
Erstens muss der Angreifer ein drahtloses Netzwerk mit einem angeschlossenen iKettle identifizieren. Dann würden sie ihr eigenes drahtloses Netzwerk mit derselben SSID erstellen.
Wenn der iKettle zu diesem Netzwerk wechselt, kann der Angreifer über Port 23 über Telnet eine Verbindung herstellen. Was ist Telnet und was verwendet es? [MakeUseOf erklärt] Was ist Telnet und was verwendet es? [MakeUseOf Explains] Telnet ist einer dieser technischen Begriffe, die Sie gelegentlich hören, aber nicht in einer Anzeige oder in einer Funktionswaschliste eines Produkts, das Sie kaufen. Das liegt daran, dass es sich um ein Protokoll oder eine Sprache handelt. Lesen Sie mehr. Dies ist ein frei verfügbares Werkzeug, das SSH ähnelt und Benutzern die Fernverwaltung von Computern ermöglicht.
Der iKettle fordert den Angreifer dann zur Eingabe eines sechsstelligen Kennworts auf. Dies kann brutal erzwungen werden. Wenn der Wasserkocher jedoch mit einem Android-Gerät eingerichtet wurde, hat er das Standardkennwort von 000000. Nach der Authentifizierung weist der Angreifer den Wasserkocher an, seine Einstellungen aufzulisten. An diesem Punkt wird das gesamte zwischengespeicherte WLAN-Kennwort in Klartext ausgegeben, sodass ein Angreifer Zugriff auf das gesamte Netzwerk erhält.
Das Problem des Managements
Ein Sprecher von Smarter Labs wollte unbedingt betonen, dass eine Lösung für dieses Problem nicht weit entfernt ist.
“Wir bei Smarter nehmen Sicherheit sehr ernst und arbeiten mit unseren Ingenieuren zusammen, um sicherzustellen, dass unsere neuen Produkte keinen Sicherheitsproblemen ausgesetzt sind. Wir werden das betroffene Produkt im November aktualisieren, um dieses Problem zu beseitigen.”
Sie betonten auch, dass der kommende iKettle nicht betroffen sein wird:
“Unser neues Produkt und unsere Anwendung verfügen über aktualisierte Sicherheitsfunktionen, die für [die Sicherheitsanfälligkeit] nicht relevant sind..”
Benutzer mit einem betroffenen Wasserkocher können ihn mit der für iPhone und Android verfügbaren iKettle-App aktualisieren. In der Zwischenzeit kann es sinnvoll sein, einen zweiten Router mit einer anderen SSID an Ihr Heimnetzwerk anzuschließen und Ihren Wasserkocher damit zu verbinden. Sie können einen vollkommen passenden Router von Amazon für nur 10 US-Dollar finden.
Diese Episode erinnert uns daran, wie die von uns verwendeten Smart-Home-Produkte aussehen im Wesentlichen Computer, und wie sie mit den gleichen Sicherheitsproblemen konfrontiert werden, die herkömmliche Computer haben. Es ist seltsam, sich jemanden vorzustellen, der Telnet benutzt, um sich mit einem Wasserkocher zu verbinden, aber anscheinend ist es eine Sache.
Mit dem unvermeidlichen Reifen des Smart-Home-Bereichs stehen Hersteller zunehmend unter Druck, die Sicherheit ihrer Geräte zu berücksichtigen. Und wenn etwas schief geht (wie es unausweichlich der Fall ist), können sie damit rechnen, dass die Füße über den Kohlen gehalten werden.
Die Hersteller müssen ihre Produkte so gestalten, dass sie leicht zurückgesetzt und aktualisiert werden können. Sie müssen proaktiv auf die Sicherheit ihrer Geräte eingehen und mit Sicherheitsforschern zusammenarbeiten. Sie müssen lernen, wie man Offenlegungen für vollständige oder verantwortungsvolle Offenlegung verwaltet: Offenlegung von Sicherheitslücken Vollständige oder verantwortungsbewusste Offenlegung: Offenlegung von Sicherheitslücken Sicherheitslücken in gängigen Softwarepaketen werden ständig erkannt, aber wie werden sie an Entwickler gemeldet? und wie erfahren Hacker über Schwachstellen, die sie ausnutzen können? Lesen Sie mehr und ihre Beziehungen zur Sicherheits-Community Oracle möchte, dass Sie aufhören, sie zu senden - hier ist der Grund, dass das verrückt ist Oracle möchte, dass Sie aufhören, sie zu senden - hier ist, dass das verrückt ist Oracle ist in heißem Wasser über einen fehlgeleiteten Blogbeitrag von Sicherheitschef Mary Davidson. Diese Demonstration, wie die Sicherheitsphilosophie von Oracle vom Mainstream abweicht, wurde von der Sicherheitsgemeinschaft nicht gut angenommen… Lesen Sie mehr, was für manche eine unglaubliche Herausforderung war.
Hersteller müssen überlegen, wie sie die Sicherheit ihrer Geräte gewährleisten können, falls sie kaputt gehen. Noch wichtiger ist, dass sie sich mit ihren Kunden darüber einig sein müssen, wie lange sie ein bestimmtes Produkt aufrechterhalten müssen.
Ungeplante Veralterung
Ein Freund von mir hat eine Mikrowelle buchstäblich uralt. Das hört sich nach Übertreibung an, ist es aber nicht. Er erbte es von seinen Eltern, die es in den 1980er Jahren von einem inzwischen aufgelösten Hypermarkt kauften. Lassen Sie mich das in einen Zusammenhang bringen: Seine Mikrowelle ist älter als ich.
Aber hier ist das Ding; es ist ein vollkommen ausreichend Mikrowelle. Fast dreißig Jahre später kann ein gefrorenes Lasagne-Fertiggericht immer noch zu einem dampfenden Pool geschmolzenen Käses werden und gefrorenes Fleisch kann leicht aufgetaut werden. Es gibt buchstäblich keinen Grund, es zu ersetzen.
Das ist die Sache mit traditioneller weißer Ware. Sie unterliegen nicht demselben Zyklus geplanter Obsoleszenz, die Sie verbrauchen werden: Die Geschichte der Unterhaltungselektronik [Feature], die Sie verbrauchen werden: Die Geschichte der Unterhaltungselektronik [Feature] Jedes Jahr präsentieren Ausstellungen auf der ganzen Welt neue High-Tech-Geräte; teures spielzeug mit viel versprechen. Sie zielen darauf ab, unser Leben einfacher zu machen, mehr Spaß zu haben, super vernetzt zu sein, und natürlich sind sie Status. So etwas gibt es nicht “Kühlschrank-Aktualisierungszyklus”. So etwas gibt es nicht “zwei Jahre Upgrade” in der Welt der Weißen Ware.
Eine andere Sache: Die Mikrowelle meines Freundes wurde in einem Land hergestellt, das nicht mehr existiert (Die Deutsche Demokratische Republik, auch DDR genannt), von einer Firma, die ebenfalls nicht mehr existiert. Aber das war kein Hindernis für ihn, nach dreißig Jahren käsige Mikrowellen-Nachos herzustellen.
Bei Smart Home Tech ist das eine andere Sache. Es ist sehr wahrscheinlich, dass für Ihren computergesteuerten Wasserkocher oder einen WiFi-fähigen Regenschirm regelmäßige Leistungs- und Sicherheitsupdates erforderlich sind.
Das Problem ist, Programmierer sind teuer, Es ist grundsätzlich unrealistisch zu erwarten, dass Softwareunternehmen ihre Produkte auf unbestimmte Zeit warten. Schließlich müssen sie es loslassen, wie es Microsoft mit Windows XP tat. Was die Windows XPocalypse für Sie bedeutet Was die Windows XPocalypse für Sie bedeutet Microsoft wird im April 2014 die Unterstützung für Windows XP beenden. Dies hat schwerwiegende Folgen für beide Unternehmen und Verbraucher. Folgendes sollten Sie wissen, wenn Sie noch Windows XP ausführen. Lesen Sie mehr Anfang 2014.
Dann gibt es die kleine Sache, dass Tech-Unternehmen letztendlich wie der Todesstern implodieren und einen Berg von Laptop-Werbematerial und jetzt nicht mehr unterstützten Code hinterlassen. Um nur drei (von vielen) Beispielen zu nennen, gibt es Silicon Graphics, Palm und Commodore.
Wenn Sie ein Produkt kaufen, das von Natur aus viel Management erfordert, um es sicher zu halten und reibungslos zu funktionieren, müssen Sie sich darauf verlassen, dass das Unternehmen dies unterstützt. Das ist nicht immer eine sichere Wette.
Das Internet der Dinge schützen
Im Moment ist das Internet der Dinge eine aufkeimende Idee, die sich noch in der Mitte befindet. Es ist immer noch ein Experiment, bei dem Dutzende von Fragen noch nicht beantwortet wurden.
Sollten Hersteller für die Sicherheit der von ihnen verkauften Produkte verantwortlich sein? Wenn ja, in welchem Umfang?
Sollte ein Unternehmen vernünftigerweise erwarten, dass es ein IoT- oder Smart Home-Produkt unterstützt?? Wenn ja, wie lange?
Was passiert, wenn der Hersteller versagt?? Viele Startups haben versprochen, ihren Code unter freiem Himmel zu veröffentlichen, falls sie versagen. Sollten Smart-Home-Hersteller dazu gezwungen sein, dasselbe zu tun?
Gibt es etwas, was Verbraucher tun können, um sicherzustellen, dass ihre Hardware sicher ist? Wenn ja, was?
Diese Fragen werden rechtzeitig beantwortet. Aber bis dahin gehe ich davon aus, dass die Mehrheit der Verbraucher die Welt des Internets der Dinge zurückhalten wird.
Aber was denkst du? Hinterlasse mir einen Kommentar und wir plaudern.
Erfahren Sie mehr über: Sicherheitsverletzung, Smart Appliance.