Perché l'iKettle Hack dovrebbe preoccuparti (anche se non ne possiedi uno)

Annuncio pubblicitario

Quando si tratta della tecnologia Smart Home, non mancano i prodotti la cui ragion d'essere è discutibile, per dirla in parole povere. In effetti, io ha scritto un intero articolo Frigoriferi per tweet e cuociriso controllati dal web: 9 dei più stupendi elettrodomestici intelligentiCi sono molti dispositivi domestici intelligenti che sono degni del tuo tempo e denaro. ma ci sono anche tipi che non dovrebbero mai vedere la luce del giorno. Ecco 9 dei peggiori. Leggi di più su di loro nell'aprile di quest'anno. Uno dei dispositivi che ho citato era il iKettle, di Smarter Labs.

IKettle è un bollitore abilitato WiFi. Sì, avete letto bene. Apparentemente il compito di riscaldare l'acqua fino al suo punto di ebollizione è qualcosa che può essere realizzato solo con l'integrazione WiFi.

Oh, e ho già detto che è arrivato con un enorme e spalancato difetto di sicurezza che aveva il potenziale per far saltare intere reti WiFi?

Come ha funzionato l'attacco

Sì, si scopre che iKettle non è troppo caldo (

scusa) quando si tratta di sicurezza. Con solo un paio di passaggi, puoi convincerlo a tossire la password WiFi dell'utente. Quindi, come fai a hackerare un bollitore?

Innanzitutto, l'attaccante dovrebbe identificare una rete wireless con un iKettle connesso. Quindi, avrebbero creato la propria rete wireless utilizzando lo stesso SSID.

Quando iKettle passa a quella rete, l'attaccante può connettersi ad essa tramite la porta 23 usando Telnet Che cos'è Telnet e quali sono i suoi usi? [MakeUseOf Explains]Telnet è uno di quei termini tecnici che potresti occasionalmente ascoltare, ma non in un annuncio o in un elenco di servizi di lavanderia di qualsiasi prodotto che puoi acquistare. Questo perché è un protocollo o una lingua ... Leggi di più . Questo è uno strumento disponibile gratuitamente che è simile a SSH e consente agli utenti di gestire da remoto i computer.

L'iKettle chiederà quindi all'attaccante un passcode a sei cifre. Questo può essere forzato, ma se il bollitore è stato impostato con un dispositivo Android, ha la password predefinita di 000000. Una volta autenticato, l'attaccante dirà al bollitore di elencare le sue impostazioni. A quel punto, sputerà l'intera password WiFi memorizzata nella cache in testo semplice, consentendo a un utente malintenzionato di accedere all'intera rete.

Il problema della gestione

Un portavoce di Smarter Labs era ansioso di sottolineare che una soluzione a questo problema non è lontana.

"Prendiamo molto sul serio la sicurezza qui in Smarter e abbiamo lavorato con i nostri ingegneri per garantire che i nostri nuovi prodotti non incontrino problemi di sicurezza. Aggiorneremo il prodotto effettuato a novembre per sradicare tale problema ".

Hanno anche sottolineato che il prossimo iKettle non sarà interessato:

"Il nostro nuovo prodotto e la nostra applicazione hanno funzionalità di sicurezza aggiornate che non sono rilevanti per [la vulnerabilità]."

Gli utenti con un bollitore interessato possono aggiornarlo utilizzando l'app iKettle, disponibile per iPhone e Android. Nel frattempo, potrebbe essere sensato collegare un secondo router alla rete domestica con un SSID diverso e collegare il proprio bollitore a quello. Puoi trovare un router perfettamente adeguato da Amazon per un minimo di $ 10.

Questo episodio ci ricorda come sono i prodotti per la casa intelligente che usiamo essenzialmente computere come affrontano gli stessi problemi di sicurezza dei computer tradizionali. È strano immaginare qualcuno che utilizza Telnet per connettersi a un bollitore, ma a quanto pare è una cosa.

Con l'inevitabile maturità del settore Smart Home, i produttori saranno sottoposti a crescenti pressioni per valutare la sicurezza dei propri dispositivi. E quando le cose vanno male (come inevitabilmente fanno) possono aspettarsi di avere i piedi sopra i carboni.

I produttori dovranno progettare i propri prodotti in modo che siano facili da ripristinare e da aggiornare. Dovranno adottare un approccio proattivo alla sicurezza dei propri dispositivi e collaborare con i ricercatori della sicurezza. Dovranno imparare come gestire la divulgazione Divulgazione completa o responsabile: come vengono divulgate le vulnerabilità della sicurezzaLe vulnerabilità di sicurezza nei pacchetti software più diffusi vengono scoperte continuamente, ma come vengono segnalate agli sviluppatori e in che modo gli hacker vengono a conoscenza delle vulnerabilità che possono sfruttare? Leggi di più e il loro relazioni con la comunità della sicurezza Oracle vuole smettere di inviarli bug: ecco perché è pazzescoOracle è in acqua calda su un post errato del blog del capo della sicurezza, Mary Davidson. Questa dimostrazione di come la filosofia di sicurezza di Oracle si discosti dal mainstream non è stata accolta bene nella comunità della sicurezza ... Leggi di più , che alcuni hanno trovato incredibilmente impegnativo da fare.

I produttori dovranno considerare come garantire la sicurezza dei propri dispositivi, nel caso in cui si rompano. Ancora più importante, dovranno stabilire un consenso con i loro clienti su quanto ci si aspetta che mantengano un determinato prodotto.

Obsolescenza non pianificata

Un mio amico ha un forno a microonde che è letteralmente antico. Sembra iperbole, ma non lo è. Lo ereditò dai suoi genitori, che a loro volta lo acquistarono da un ipermercato ormai defunto negli anni '80. Vorrei metterlo nel contesto: il suo forno a microonde è più grande di me.

Ma ecco la cosa; è un microonde perfettamente adeguato. Quasi trent'anni dopo, può ancora trasformare un piatto pronto di lasagne surgelate in una vasca fumante di formaggio fuso, e può ancora scongelare facilmente carne congelata. Non c'è letteralmente alcun motivo per sostituirlo.

Questo è il problema dei bianchi tradizionali. Non sono soggetti allo stesso ciclo di obsolescenza pianificata Consumerai: la storia dell'elettronica di consumo [lungometraggio]Ogni anno, mostre in tutto il mondo presentano nuovi dispositivi ad alta tecnologia; giocattoli costosi che vengono con molte promesse. Mirano a rendere la nostra vita più facile, più divertente, super connessa e, naturalmente, sono status ... Leggi di più che la maggior parte della tecnologia è. Non esiste un "ciclo di aggiornamento del frigorifero". Non esiste un "upgrade di due anni" nel mondo degli elettrodomestici.

Un'altra cosa: il forno a microonde del mio amico è stato prodotto in un paese che non esiste più (la Repubblica democratica tedesca, nota anche come Germania dell'Est), da un'azienda che ha smesso di esistere allo stesso modo. Ma questo non gli ha impedito di preparare nachos di formaggio a microonde, a trent'anni di distanza.

È una questione diversa per la tecnologia della casa intelligente. È molto probabile che il tuo bollitore computerizzato o ombrello abilitato per il WiFi richieda periodici aggiornamenti delle prestazioni e della sicurezza.

Il problema è che i programmatori lo sono costosoed è fondamentalmente irrealistico aspettarsi che le società di software mantengano i loro prodotti indefinitamente. Alla fine, devono lasciarlo andare, come ha fatto Microsoft con Windows XP Cosa significa Windows XPocalypse per teMicrosoft ucciderà il supporto per Windows XP nell'aprile 2014. Ciò ha gravi conseguenze sia per le imprese che per i consumatori. Ecco cosa dovresti sapere se stai ancora eseguendo Windows XP. Leggi di più all'inizio del 2014.

Poi, c'è la piccola questione delle aziende tecnologiche che alla fine tendono a implodere come La Morte Nera, lasciando dietro di sé una montagna di adesivi promozionali per laptop e codice ora non supportato. Per darti solo tre (di molti) esempi, c'è Silicon Graphics, Palm e Commodore.

Se acquisti un prodotto che ha intrinsecamente bisogno di molta gestione solo per mantenerlo sicuro e funzionare senza intoppi, fai una scommessa che la compagnia si atterrà a sostenerlo. Non è sempre una scommessa sicura.

Proteggere l'Internet of Things

In questo momento, l'Internet of Things è un'idea nascente, ancora a metà. È ancora un esperimento, con dozzine di domande ancora senza risposta.

I produttori dovrebbero essere responsabili della sicurezza dei prodotti che vendono? Se così, fino a che punto?

Un'azienda dovrebbe ragionevolmente prevedere di supportare un prodotto IoT o Smart Home? In tal caso, per quanto tempo?

Cosa succede se il produttore fallisce? Molte startup si sono impegnate a rilasciare il proprio codice di dominio pubblico, qualora fallissero. I produttori di case intelligenti dovrebbero essere costretti a fare lo stesso?

C'è qualcosa che i consumatori possono fare per garantire che il loro hardware sia sicuro? E allora?

A queste domande verrà data risposta in tempo. Ma fino a quando lo saranno, sospetto che la maggior parte dei consumatori sarà reticente ad abbracciare il mondo dell'Internet of Things.

Ma tu cosa ne pensi Lasciami un commento qui sotto e chatteremo.