Warum sich der iKettle-Hack Sorgen machen sollte (auch wenn Sie keinen besitzen)

Der iKettle ist ein WiFi-fähiger Wasserkocher, der offensichtlich mit einem massiven, klaffenden Sicherheitsfehler ausgestattet war, der das Potenzial hatte, ganze WiFi-Netzwerke zu sprengen.

Der iKettle ist ein WiFi-fähiger Wasserkocher, der offensichtlich mit einem massiven, klaffenden Sicherheitsfehler ausgestattet war, der das Potenzial hatte, ganze WiFi-Netzwerke zu sprengen.
Werbung

Wenn es um Smart-Home-Technologie geht, gibt es keinen Mangel an Produkten, deren Daseinszweck fraglich ist, um es gelinde auszudrücken. In der Tat schrieb ich einen ganzen Artikel Tweeting Kühlschränke und Web Controlled Reiskocher: 9 der Stupidest Smart Home Appliances Tweeting Kühlschränke und Web Controlled Reiskocher: 9 der Stupidest Smart Home Appliances Es gibt viele Smart-Home-Geräte, die es wert sind deine Zeit und dein Geld. Aber es gibt auch Arten, die niemals das Licht der Welt erblicken sollten. Hier sind 9 der schlimmsten. Lesen Sie mehr dazu im April dieses Jahres. Eines der Geräte, die ich erwähnt habe, war das iKettle von Smarter Labs.

iKettle 2.0 (kommt mit UK-Stecker und erfordert US-Stromrichter) iKettle 2.0 (kommt mit UK-Stecker und erfordert US-Stromrichter) Jetzt kaufen bei Amazon

Der iKettle ist ein WiFi-fähiger Wasserkocher. Ja, das hast du richtig gelesen. Offensichtlich ist die Aufgabe, Wasser bis zum Siedepunkt zu erhitzen, nur mit WiFi-Integration möglich.

Oh, und habe ich erwähnt, dass es einen riesigen, klaffenden Sicherheitsfehler gab, der das Potenzial hatte, ganze WiFi-Netzwerke zu sprengen?

Wie der Angriff funktioniert hat

Ja, es stellt sich heraus, dass das iKettle nicht zu heiß ist ( Entschuldigung ), wenn es um Sicherheit geht. Mit nur ein paar Schritten können Sie es davon überzeugen, das WLAN-Passwort des Benutzers abzulegen. Also, wie hackst du einen Kessel?

Zunächst müsste der Angreifer ein drahtloses Netzwerk mit einem angeschlossenen iKettle identifizieren. Dann würden sie ihr eigenes drahtloses Netzwerk mit der gleichen SSID erstellen.

Ikettle-Haupt

Wenn der iKettle zu diesem Netzwerk wechselt, kann sich der Angreifer über Port 23 über Telnet verbinden. Was ist Telnet? [MakeUseOf erklärt] Was ist Telnet und was sind seine Verwendung? [MakeUseOf Explains] Telnet ist einer dieser technischen Begriffe, die Sie gelegentlich hören können, aber nicht in einer Anzeige oder in einer Liste mit Funktionen für ein Produkt, das Sie kaufen können. Das ist, weil es ein Protokoll oder eine Sprache ist ... Lesen Sie mehr. Dies ist ein frei verfügbares Tool, das SSH ähnelt und es Benutzern ermöglicht, Computer remote zu verwalten.

Der iKettle fordert dann den Angreifer zur Eingabe eines sechsstelligen Passcodes auf. Dies kann brutal sein, aber wenn der Wasserkocher mit einem Android-Gerät eingerichtet wurde, hat es das Standardkennwort 000000 . Einmal authentifiziert, wird der Angreifer dem Kessel mitteilen, seine Einstellungen aufzulisten. An diesem Punkt wird das gesamte zwischengespeicherte WLAN-Passwort im Klartext ausgegeben, sodass ein Angreifer Zugriff auf das gesamte Netzwerk erhält.

Das Problem des Managements

Ein Sprecher von Smarter Labs wollte unbedingt betonen, dass eine Lösung für dieses Problem nicht weit entfernt ist.

"Wir nehmen Sicherheit bei Smarter sehr ernst und haben mit unseren Ingenieuren zusammengearbeitet, um sicherzustellen, dass unsere neuen Produkte keine Sicherheitslücken aufweisen. Wir werden das betroffene Produkt im November aktualisieren, um dieses Problem zu beseitigen. "

Sie haben auch betont, dass der kommende iKettle nicht betroffen sein wird:

"Unser neues Produkt und unsere neue Anwendung haben Sicherheitsfunktionen aktualisiert, die für [die Sicherheitslücke] nicht relevant sind."

Benutzer mit einem betroffenen Wasserkessel können sie mit der für iPhone und Android verfügbaren iKettle-App aktualisieren. In der Zwischenzeit könnte es sinnvoll sein, einen zweiten Router mit einer anderen SSID an Ihr Heimnetzwerk anzuschließen und Ihren Wasserkocher damit zu verbinden. Sie können einen vollkommen passenden Fräser von Amazon für so wenig wie $ 10 finden.

Diese Episode erinnert uns daran, dass die Smart-Home-Produkte, die wir verwenden, im Wesentlichen Computer sind und dass sie denselben Sicherheitsproblemen ausgesetzt sind wie herkömmliche Computer. Es ist seltsam, sich vorzustellen, dass jemand Telnet benutzt, um sich mit einem Wasserkocher zu verbinden, aber anscheinend ist es eine Sache.

Da das Smart-Home-Feld unweigerlich reift, werden die Hersteller zunehmend unter Druck geraten, die Sicherheit ihrer Geräte zu berücksichtigen. Und wenn etwas schiefgeht (wie es unvermeidlich ist), können sie erwarten, dass ihre Füße über den Kohlen gehalten werden.

Kühlschrank-Deckel

Die Hersteller müssen ihre Produkte so gestalten, dass sie einfach zu resetten und zu aktualisieren sind. Sie müssen einen proaktiven Ansatz für die Sicherheit ihrer Geräte verfolgen und mit Sicherheitsforschern zusammenarbeiten. Sie müssen lernen, wie man die Offenlegung verwaltet. Vollständige oder Verantwortliche Offenlegung: Wie Sicherheitslücken offengelegt werden Vollständige oder Verantwortliche Offenlegung: Wie Sicherheitslücken offengelegt werden Sicherheitslücken in populären Softwarepaketen werden ständig entdeckt, aber wie werden sie den Entwicklern gemeldet, und wie erfahren Hacker, welche Schwachstellen sie ausnutzen können? Lesen Sie mehr und ihre Beziehungen mit der Sicherheitsgemeinschaft Oracle will Sie aufhören, sie zu senden Bugs - hier ist, warum das verrückt ist Oracle möchte Sie aufhören zu senden sie Bugs - hier ist, warum das verrückt ist Oracle ist in heißem Wasser über einen fehlgeleiteten Blog-Post von Sicherheitschef Mary Davidson. Diese Demonstration, wie Oracles Sicherheitsphilosophie vom Mainstream abweicht, wurde in der Sicherheits-Community nicht gut aufgenommen ... Read More, die einige als unglaublich herausfordernd empfunden haben.

Die Hersteller müssen überlegen, wie sie die Sicherheit ihrer Geräte gewährleisten können, falls sie kaputt gehen. Noch wichtiger ist, dass sie mit ihren Kunden einen Konsens darüber finden müssen, wie lange ein bestimmtes Produkt gewartet werden muss.

Ungeplante Obsoleszenz

Ein Freund von mir hat eine Mikrowelle, die buchstäblich alt ist . Es klingt wie Übertreibung, ist es aber nicht. Er erbte es von seinen Eltern, die es in den 1980er Jahren von einem inzwischen verstorbenen Hypermarkt kauften. Lass mich das im Zusammenhang stellen: seine Mikrowelle ist älter als ich .

Aber hier ist das Ding; es ist eine vollkommen angemessene Mikrowelle . Fast dreißig Jahre später kann es immer noch eine gefrorene Lasagne zu einem dampfenden Schmelzkäse werden lassen, und gefrorenes Fleisch kann noch leicht aufgetaut werden. Es gibt buchstäblich keinen Grund, es zu ersetzen.

Kühlschrank-Mikrowelle

Das ist die Sache mit traditionellen weißen Waren. Sie unterliegen nicht dem gleichen Zyklus geplanter Obsoleszenz. Du sollst konsumieren: Die Geschichte der Unterhaltungselektronik [Feature] Du sollst konsumieren: Die Geschichte der Unterhaltungselektronik [Feature] Jedes Jahr zeigen Ausstellungen auf der ganzen Welt neue High-Tech-Geräte; teures Spielzeug, das mit vielen Versprechungen kommt. Sie zielen darauf ab, unser Leben leichter zu machen, mehr Spaß, super verbunden, und natürlich sind sie Status ... Lesen Sie mehr, dass die meisten Tech ist. Es gibt keinen Kühlschrank-Refresh-Zyklus. Es gibt kein "Zwei-Jahres-Upgrade" in der Weißwarenwelt.

Eine andere Sache: Die Mikrowelle meines Freundes wurde in einem Land hergestellt, das nicht mehr existiert (die DDR, auch bekannt als Ostdeutschland), von einem Unternehmen, das ebenfalls nicht mehr existiert. Aber das war kein Hindernis für ihn, dreißig Jahre später kitschige Mikrowellen-Nachos zu machen.

Es ist eine andere Sache für Smart-Home-Tech. Es ist sehr wahrscheinlich, dass Ihr computergesteuerter Wasserkocher oder WiFi-fähiger Regenschirm regelmäßige Leistungs- und Sicherheitsupdates erfordert.

Das Problem ist, Programmierer sind teuer, und es ist grundsätzlich unrealistisch zu erwarten, dass Softwareunternehmen ihre Produkte auf unbestimmte Zeit warten. Schließlich müssen sie es gehen lassen, wie Microsoft mit Windows XP gemacht hat Was die Windows XPocalypse für Sie bedeutet Was die Windows XPocalypse für Sie bedeutet Microsoft wird die Unterstützung für Windows XP im April 2014 beenden. Dies hat schwerwiegende Konsequenzen für beide Unternehmen und Verbraucher. Hier ist, was Sie wissen sollten, wenn Sie noch Windows XP ausführen. Lesen Sie mehr Anfang 2014.

Hinzu kommt, dass Tech-Unternehmen dazu neigen, wie The Death Star implodieren zu können, und einen Berg von Werbe-Laptop-Aufklebern und jetzt nicht unterstützter Code hinterlassen. Um Ihnen nur drei (von vielen) Beispielen zu geben, gibt es Silicon Graphics, Palm und Commodore.

Wenn Sie ein Produkt kaufen, das inhärent viel Management benötigt, nur um es sicher zu halten und reibungslos zu funktionieren, nehmen Sie ein Wagnis, dass das Unternehmen dabei bleibt, es zu unterstützen. Das ist nicht immer eine sichere Sache.

Das Internet der Dinge schützen

Im Moment ist das Internet der Dinge eine noch im Entstehen begriffene Idee. Es ist immer noch ein Experiment, bei dem Dutzende von Fragen noch nicht beantwortet wurden.

Sollten die Hersteller für die Sicherheit der von ihnen verkauften Produkte verantwortlich sein? Wenn ja, in welchem ​​Umfang?

Sollte von einem Unternehmen erwartet werden, dass es ein IoT- oder Smart Home-Produkt unterstützt? Wenn ja, wie lange?

Was passiert, wenn der Hersteller versagt? Viele Startups haben versprochen, ihren Code unter der Public Domain freizugeben, sollten sie ausfallen. Sollten Smart-Home-Hersteller dazu gezwungen werden?

Können die Kunden etwas tun, um ihre Hardware sicher zu machen? Wenn ja, was?

Diese Fragen werden rechtzeitig beantwortet. Aber bis sie es sind, vermute ich, dass die Mehrheit der Verbraucher zurückhaltend sein wird, das Internet der Dinge Welt zu umarmen.

Aber was denkst du? Hinterlasse mir einen Kommentar und wir werden uns unterhalten.

In this article