Samsungs intelligenter Kühlschrank erhielt gerade Pwned. Wie wäre es mit dem Rest Ihres Smart Home?

Eine Schwachstelle mit Samsungs Smart-Kühlschrank wurde von der britischen Infosec-Firma Pen Test Parters entdeckt. Die Implementierung der SSL-Verschlüsselung durch Samsung überprüft nicht die Gültigkeit der Zertifikate.

Eine Schwachstelle mit Samsungs Smart-Kühlschrank wurde von der britischen Infosec-Firma Pen Test Parters entdeckt.  Die Implementierung der SSL-Verschlüsselung durch Samsung überprüft nicht die Gültigkeit der Zertifikate.
Werbung

$ 3599 ist eine Menge Geld.

Es könnte dir ein anständiges Gebrauchtfahrzeug oder einen relativ ausgetricksten iMac bringen. Sie könnten 3599 McChicken Burger oder 2589 McDoubles kaufen. Oder es könnte dir das Samsung RF28HMELBSR bringen.

Dieser Kühlschrank (mit Namen) hat alles. Es hat vier Türen, einen kolossalen 28 Kubikfuß Platz und ein integriertes, 8 "WiFi-fähiges LCD-Touchscreen-Display, mit dem Sie alles tun können, um die Nachrichten zu lesen und Ihr Android-Smartphone fernzusteuern.

Wenn es vertraut klingt, ist es, weil es einmal auf meiner Liste der dümmsten Smart Home Produkte aller Zeiten Tweeting Kühlschränke und Web Controlled Reiskocher war: 9 der Stupidest Smart Home Appliances Tweeting Kühlschränke und Web Controlled Reiskocher: 9 der Stupidest Smart Home Haushaltsgeräte Es gibt viele intelligente Haushaltsgeräte, die Ihre Zeit und Ihr Geld wert sind. Aber es gibt auch Arten, die niemals das Licht der Welt erblicken sollten. Hier sind 9 der schlimmsten. Weiterlesen . Und habe ich erwähnt, dass es Schiffe mit einer riesigen Sicherheitslücke gibt?

Intelligenter Kühlschrank, dummer Fehler

Ja, dieser Kühlschrank ist trotz seiner hohen Verarbeitungsqualität mit einem erheblichen Sicherheitsrisiko behaftet, bei dem ein Angreifer möglicherweise heimlich Gmail-Anmeldedaten einholen kann.

Die Sicherheitslücke wurde erstmals am 24. August im "The Register" gemeldet und von der britischen Infosec-Firma Pen Test Parters entdeckt, als sie an einer Internet-of-Things (IoT) -Hacking-Herausforderung auf der letzten Defcon 23-Konferenz teilnahm.

Über den integrierten Touchscreen dieses Kühlschranks kann der Benutzer auf seinen eigenen Google Kalender zugreifen. Verbindungen zu und von den Google-Servern werden mit SSL-Verschlüsselung verschlüsselt. Was ist ein SSL-Zertifikat, und brauchen Sie eines? Was ist ein SSL-Zertifikat, und brauchen Sie eines? Das Surfen im Internet kann beängstigend sein, wenn persönliche Informationen betroffen sind. Lesen Sie mehr, aber Samsung Implementierung von SSL überprüft nicht die Gültigkeit der Zertifikate.

RF28HMELBSR

Dies stellt ein ernstes Sicherheitsproblem dar, da jeder im Netzwerk einen "Mann in der Mitte" starten könnte. Was ist ein Man-in-the-Middle Angriff? Sicherheitsjargon erklärt Was ist ein Man-in-the-Middle Angriff? Sicherheitsjargon erklärt Wenn Sie von "Man-in-the-Middle" -Angriffen gehört haben, aber nicht ganz sicher sind, was das bedeutet, ist dies der Artikel für Sie. Lesen Sie mehr Angriff und abfangen die Anmeldedaten des Benutzers während der Übertragung. Ein Angreifer könnte sie auch durch Spoofing eines Zugriffspunkts oder durch einen drahtlosen Deauthentifizierungsangriff erhalten.

Samsung hat gesagt, dass sie "so schnell wie möglich in diese Angelegenheit eindringen", und arbeiten vermutlich mit Hochdruck daran, eine Lösung herauszugeben. Aber diese Episode zeigt eine interessante Demonstration, wie sehr die Sicherheit im Internet der Dinge schiefgehen kann.

(In) Sicherheit in einer vernetzten Welt der Dinge

In der Vergangenheit haben wir ausführlich über die Risiken gesprochen, die sich aus dem Internet der Dinge ergeben, und zwar aus Gründen des Datenschutzes Warum das Internet der Dinge der größte Sicherheitsnightmare ist Warum das Internet der Dinge der größte Sicherheitsnightmare ist Eines Tages kommst du von zu Hause an arbeiten, um herauszufinden, dass Ihr Cloud-fähiges Heimsicherheitssystem durchbrochen wurde. Wie konnte das passieren? Mit dem Internet der Dinge (Internet of Things, IoT) könntest du es auf die harte Tour herausfinden. Lesen Sie mehr und aus einer sicherheits- und soziologischen Perspektive 7 Gründe, warum das Internet der Dinge Sie erschrecken sollte 7 Gründe, warum das Internet der Dinge Sie erschrecken sollte Die potenziellen Vorteile des Internets der Dinge wachsen hell, während die Gefahren in die stillen Schatten geworfen werden. Es ist Zeit, mit sieben schrecklichen Versprechungen des IoT auf diese Gefahren aufmerksam zu machen. Weiterlesen . Sie zu adressieren ist schwierig, denn wenn es darum geht, das Internet der Dinge zu sichern, stoßen wir auf einige Probleme.

Erstens sind diese Geräte keine PCs oder Telefone, insofern sie sich leicht aktualisieren lassen (Windows 10 installiert sogar Updates in Ihrem Auftrag.) Automatische Updates der App in Windows 10 ausschalten Automatische App-Updates in Windows 10 ausschalten Das Deaktivieren von Systemupdates wird nicht empfohlen, aber wenn Sie möchten, können Sie dies unter Windows 10 tun. Lesen Sie mehr), und die Hersteller dahinter sind involviert und veröffentlichen regelmäßig Software- und Sicherheitsupdates. Viele Smart-Home-Produkte werden nicht über Funk aktualisiert. Sie müssen entweder komplizierte oder unzuverlässige Softwarepakete, Wechselspeicher oder gar keine Firmware aktualisieren.

Wie aktualisieren Sie zum Beispiel eine vernetzte Kaffeekanne oder einen computergesteuerten Thermostat? Es gibt keine einfache, universelle Möglichkeit, dies zu tun.

Es ist auch wichtig, die Tatsache anzugehen, dass viele dieser Geräte jetzt von normalen Leuten in ihren eigenen Häusern gebaut werden. Arduino und Raspberry Pi haben es uns ermöglicht, Netzwerkkonnektivität und computergesteuerte Logik an Orten einzuführen, die wir nie für möglich gehalten hätten, während Produkte wie Microsoft Windows 10 für IoT Windows 10 - Kommen Sie zu einem Arduino in Ihrer Nähe? Windows 10 - Kommen Sie zu einem Arduino in Ihrer Nähe? Read More hat es einfacher gemacht, diese Geräte dem breiteren Internet zugänglich zu machen und gleichzeitig eine Welt der Chancen und Risiken zu öffnen.

Samsung-Experimentierkit

Während viele erfahrene Entwickler wissen, wie man diese Geräte auf eine sichere Weise baut, tun viel zu viele Anfänger und Hobby-Entwickler nicht.

Dann kommen wir zum Problem der Langlebigkeit. Auch dieses Problem ist einzigartig in der Smart Home-Welt. Denn während auf Ihrem PC und Telefon Software läuft, die von Firmen mit langen Vorgeschichten und tiefen Taschen gebaut wurde, haben die meisten Ihrer Smart Home-Geräte nicht.

Die überwältigende Mehrheit dieser Unternehmen sind frühe bis späte Start-ups, von denen sich viele in einer vorläufigen Phase ihrer Entwicklung befinden. Wenn sie herunterfahren, was passiert mit den Produkten, die sie bereits ausgeliefert haben? Wer schreibt Software-Updates und Sicherheitspatches?

Wie wir schon in der Vergangenheit geschrieben haben, Hardware-Startups sind schwer Warum Hardware-Startups schwer sind: Die ErgoDox zum Leben erwecken Warum Hardware-Startups schwer sind: Die ErgoDox zum Leben erwecken Hier ist eine kontroverse Meinung für Sie: Starten eines Software-Startup ist einfach. Hardware, auf der anderen Seite? Hardware-Startups sind hart. Sehr hart. Weiterlesen . Bereits in diesem Jahr gab es bei Leeo und Wink - zwei der größten Smart Home-Startups - erhebliche Entlassungen. Viele mehr - wie Lumos - sind nicht vollständig aus dem Boden gestiegen.

Aber vielleicht ist die größte und dauerhafteste Bedrohung für die Sicherheit von Smart Home und Internet of Things einfach, dass diese Geräte so gebaut sind, dass sie länger halten als ihre Hersteller bevorzugen würden. Eingebettete Systeme und Smart-Home-Produkte können Jahre und Jahre glücklich funktionieren. Viele davon funktionieren nicht mit einem Abonnementdienst.

Ist zu erwarten, dass Nest und Philips Updates anbieten, solange Microsoft Windows XP unterstützt? Was bedeutet Windows XPocalypse für Sie? Was bedeutet Windows XPocalypse? Microsoft wird den Support für Windows XP im April 2014 beenden. Dies hat schwerwiegende Folgen für sowohl Unternehmen als auch Verbraucher. Hier ist, was Sie wissen sollten, wenn Sie noch Windows XP ausführen. Weiterlesen ?

Aus dem LAN, ins Feuer

Diese Sicherheitsprobleme werden durch die Tatsache erheblich verstärkt, dass viele dieser Geräte mit dem breiteren Internet verbunden und aus der Ferne zugänglich sind, wodurch ein Sammelsurium an Sicherheitsbedenken eingeführt wird.

Denn wenn Sie etwas mit dem Internet verbinden, führen Sie einen neuen Angriffsvektor für diejenigen ein, die so motiviert sind. Anstatt sich mit Ihrem Heimnetzwerk verbinden zu müssen, könnte jemand es einfach aus der Ferne manipulieren.

Es ist einfacher als du denkst. Es gibt sogar eine Suchmaschine für eingebettete Systeme namens Shodan. Mit nur wenigen Tastenanschlägen können Sie Systeme finden, die weltweit im Internet verfügbar sind - von Kraftwerken in Japan über Webcams in Holland bis hin zu VoIP-Telefonen in New York.

Samsung-Shodan-Iot

Wenn Sie einfach nach "Web Cam" suchen, werden Tausende von fernzugänglichen Webcams angezeigt. Ich habe jedoch keinen Zugriff darauf, da dies mit ziemlicher Sicherheit dazu führen würde, dass ich den Computermissbrauch Act 1990 brechen. Der Computermissbrauch Act: Das Gesetz, das Hacking in Großbritannien kriminalisiert Der Computermissbrauch Act: Das Gesetz, das Hacking in Großbritannien kriminalisiert UK Der Computer Misuse Act von 1990 befasst sich mit Hacking-Verbrechen. Diese umstrittene Gesetzgebung wurde kürzlich aktualisiert, um der britischen Geheimdienstorganisation GCHQ das Recht zu geben, sich in jeden Computer zu hacken. Sogar deine. Weiterlesen .

Samsung-Shodan-Webcam

Es ist gruselig. Wir haben damit begonnen, unsere Häuser ins Internet zu bringen, und es ist trivial, sie zu finden und gezielte Angriffe auf sie zu starten. Wir sollten besorgt sein.

Also, was kann getan werden?

Sicherheitslücken, wie man sie in Samsungs Android-Kühlschrank findet, werden immer da sein. Solange es für die Hersteller leicht ist, Fixes zu veröffentlichen, und sie werden ständig während der Lebensdauer der Geräte aktualisiert, ist das kein allzu großes Problem.

Aber es ist wichtig, dass wir die anderen Probleme angehen. Es müssen Anstrengungen unternommen werden, um sicherzustellen, dass die Entwickler von Smart Home- und IoT-Produkten wissen, wie sichere Systeme entwickelt werden. Dies könnte durch eine größere Reichweite der Sicherheitsgemeinschaft erreicht werden.

Dafür gibt es eine Reihe von Präzedenzfällen. Das OWASP-Projekt (Open Web Application Security Project) ist eines, das sofort in den Sinn kommt. Es wurde im Jahr 2004 veröffentlicht und bietet frei verfügbares Lehrmaterial, das Entwicklern den Aufbau sicherer Websites und Hackern beibringt, wie die Sicherheit von Webanwendungen richtig getestet werden kann .

owasp-Präsentation

Es gibt keinen Grund, etwas Ähnliches nicht für die Smart-Home-Welt und für Entwickler von Internet der Dinge zu schaffen.

Darüber hinaus müssen wir sicherstellen, dass Smart-Home-Systeme aktualisiert und gewartet werden, auch wenn die Anbieter aussteigen. Dies kann geschehen, indem jeder verpflichtet wird, seinen Code in eine Quellcode-Hinterlegungsstelle zu veröffentlichen, wo der Code freigegeben wird, wenn das Unternehmen Konkurs anmeldet, oder andernfalls die Software nicht auf eine zufriedenstellende Art und Weise wartet.

Und als Verbraucher sollten wir mehr von den Anbietern verlangen. Wir sollten fordern, dass die von uns gekauften Geräte während der Lebensdauer des Produkts mit Sicherheitspatches unterstützt werden. Wir sollten erwarten, dass Sicherheitsfragen schnell und entschlossen gelöst werden. Wir sollten erwarten, dass Anbieter Sicherheitsbedrohungen mit absoluter Transparenz behandeln. Und wir sollten Lieferanten nicht bevormunden, die diesen mageren Standard nicht erfüllen.

Dies sind alles relativ kleine Änderungen, aber es gibt keinen Grund zu der Annahme, dass sie nicht zu sichereren Smart Home-Geräten führen würden. Aber was denkst du?

Wenn Sie irgendwelche Gedanken haben oder Horrorgeschichten von IoT-Unsicherheit haben, möchte ich von ihnen hören. Lass es mich in den Kommentaren unten wissen und wir werden uns unterhalten.

Bildnachweis: Arduino Experimentierset (Oomlout), IMG_5145 (JWalsh)

In this article