Чому зламаний iKettle повинен вас турбувати (навіть якщо у вас його немає)

Коли справа доходить до технології «Розумний дім», немає нестачі в продуктах, які, м'яко кажучи, сумнівні. Фактично, я написав цілу статтю "про них у квітні цього року. Одним з пристроїв, які я згадав, був iKettle від Smarter Labs.

IKettle - це чайник з підтримкою WiFi. Так, ви правильно прочитали. Мабуть, завдання нагріву води до точки кипіння - це те, що може бути досягнуто тільки за допомогою інтеграції WiFi.

О, і я згадував, що це було з величезним, зяючим недоліком безпеки, який міг підірвати цілі мережі WiFi?

Як працює атака

Так, виявляється, що iKettle не надто гарячий (вибачте), коли мова заходить про безпеку. Всього за пару кроків ви можете переконати його зламати пароль користувача WiFi. Отже, як ви зламати чайник?

По-перше, зловмиснику потрібно ідентифікувати бездротову мережу з підключеним iKettle. Потім вони створили б свою власну бездротову мережу, використовуючи той же SSID.

Коли iKettle перемикається на цю мережу, зловмисник може підключитися до нього через порт 23 за допомогою Telnet. Це вільно доступний інструмент, схожий на SSH і дозволяє користувачам віддалено керувати комп'ютерами.

Потім iKettle запропонує атакуючому ввести шестизначний пароль. Це може бути перебір, але якщо чайник був налаштований на пристрої Android, він має пароль за замовчуванням 000000. Після автентифікації зловмисник скаже чайнику перерахувати його налаштування. У цей момент він викладе весь кешований пароль WiFi у вигляді звичайного тексту, що дозволить зловмиснику отримати доступ до всієї мережі.

Проблема керування

Представник Smarter Labs дуже хотів підкреслити, що вирішення цієї проблеми не за горами.

"Ми, Smarter, дуже серйозно ставимося до безпеки і працюємо з нашими інженерами, щоб наші нові продукти не стикалися з проблемами безпеки. Ми будемо оновлювати продукт у листопаді, щоб усунути цю проблему ".

Вони також підкреслили, що майбутній iKettle не буде торкнуться:

«Наш новий продукт і додаток мають оновлені функції безпеки, які не мають стосунку до [вразливості]».

Користувачі з пошкодженим чайником можуть оновити його за допомогою програми iKettle, доступної для iPhone і Android. У той же час, може бути доцільно підключити другий маршрутизатор до домашньої мережі з іншим SSID і підключити до нього свій чайник. Ви можете знайти абсолютно відповідний роутер від Amazon всього за 10 доларів.

Цей епізод нагадує нам, що продукти для розумного будинку, які ми використовуємо, по суті, є комп'ютерами, і як вони стикаються з тими ж проблемами безпеки, що і традиційні комп'ютери. Дивно уявити, що хтось використовує Telnet для підключення до чайника, але, очевидно, це річ.

Оскільки область «Розумний дім» неминуче визріває, виробники будуть відчувати все більший тиск, щоб розглянути питання про безпеку своїх пристроїв. І коли щось йде не так (як вони неминуче роблять), вони можуть очікувати, що їхні ноги будуть триматися над вугіллям.

Виробники повинні будуть розробляти свої продукти так, щоб їх можна було легко скидати і оновлювати. Їм доведеться активно підходити до безпеки своїх пристроїв і працювати з дослідниками безпеки. Їм потрібно буде навчитися керувати розкриттям інформації та їх відносини зі спільнотою безпеки, що дехто вважає неймовірно складним завданням.

Виробники повинні будуть подумати про те, як забезпечити безпеку своїх пристроїв, якщо вони збанкрутують. Що ще більш важливо, вони повинні будуть дійти згоди зі своїми клієнтами щодо того, як довго вони будуть підтримувати певний продукт.

Незаплановане застарівання

У мого друга є мікрохвильовка, яка буквально стародавня. Це звучить як гіпербола, але це не так. Він успадкував його від своїх батьків, які, в свою чергу, купили його в нині не існуючому гіпермаркеті в 1980-х роках. Дозвольте мені висловити це в контексті: його мікрохвильовка старша за мене.

Але ось у чому справа; це абсолютно адекватна мікрохвильовка. Через майже тридцять років він все ще може перетворювати заморожену готову їжу лазаньї на димлячу калюжу розплавленого сиру, і він все ще може легко розморозити заморожене м'ясо. Там буквально немає причин, щоб замінити його.

Це те, що відноситься до традиційної побутової техніки. На них не поширюється той же цикл запланованого застарівання, яке, ніж більшість технологій. Немає такого поняття, як «цикл оновлення холодильника». У світі побутової техніки не існує «дворічного оновлення».

Інша справа: мікрохвильова піч мого друга була виготовлена в країні, яка більше не існує (Німецька Демократична Республіка, також відома як Східна Німеччина), компанією, яка також припинила своє існування. Але це не завадило йому робити сирні начос з мікрохвильовки тридцять років потому.

Інша справа для розумних домашніх технологій. Дуже ймовірно, що вашому комп'ютеризованому чайнику або парасольку з підтримкою WiFi потрібні періодичні оновлення продуктивності та безпеки.

Проблема в тому, що програмісти коштують дорого, і в принципі нереально очікувати, що компанії-розробники будуть підтримувати свої продукти нескінченно довго. Зрештою, вони повинні це відпустити, як Microsoft зробила з Windows XP початку 2014 року.

Крім того, є невелика проблема технологічних компаній, що мають тенденцію в кінцевому підсумку вибухнути, як «Зірка смерті», залишаючи після себе гору рекламних наклейок для ноутбуків і тепер непідтримуваний код. Щоб дати вам тільки три (з багатьох) прикладів, є Silicon Graphics, Palm і Commodore.

Якщо ви купуєте продукт, який за своєю суттю потребує великої кількості управління, просто для того, щоб забезпечити його безпеку і безперебійну роботу, ви ризикуєте, і компанія буде його підтримувати. Це не завжди безпечна ставка.

Захист інтернету речей

Зараз Інтернет речей - це ідея, що зароджується, все ще наполовину сформована. Це все ще дуже експеримент, з десятками питань, які так і залишилися без відповіді.

Чи повинні виробники нести відповідальність за безпеку продуктів, які вони продають? Якщо так, то якою мірою?

Чи розумно очікувати, що компанія буде підтримувати продукт IoT або Smart Home? Якщо так, то як довго?

Що станеться, якщо виробник не зможе? Багато стартапів зобов'язалися випустити свій код у відкритому доступі, якщо вони зазнають невдачі. Чи повинні виробники розумного будинку робити те ж саме?

Чи можуть споживачі щось зробити для забезпечення безпеки свого обладнання? Якщо так, то?

Ці питання будуть дані відповіді вчасно. Але до тих пір, поки вони не з'являться, я підозрюю, що більшість споживачів будуть неохоче приймати світ Інтернету речей.

Але що ви думаєте? Залиште мені коментар нижче, і ми поспілкуємося.

COM_SPPAGEBUILDER_NO_ITEMS_FOUND