Perché l'iKettle Hack dovrebbe preoccuparti (anche se non ne possiedi uno)
Quando si tratta della tecnologia Smart Home, non mancano prodotti la cui ragion d'essere è discutibile, per dirla in parole povere. In effetti, ho scritto un intero articolo Tweeting Fridges e Rice Cottura con Risuoli Web: 9 degli Stupidest Smart Home Appliances Tweeting Fridges e Risuolatori a Risonanza Controllata dal Web: 9 degli Stupidest Smart Home Appliances Ci sono molti dispositivi intelligenti per la casa che sono degni di il tuo tempo e denaro. ma ci sono anche generi che non dovrebbero mai vedere la luce del giorno. Qui ci sono 9 dei peggiori. Leggi di più su di loro nell'aprile di quest'anno. Uno dei dispositivi che ho citato era l'iKettle, di Smarter Labs.
iKettle 2.0 (fornito con spina UK e richiede convertitore di potenza US) iKettle 2.0 (fornito con spina UK e richiede convertitore di potenza USA) Acquista ora su Amazon
L'iKettle è un bollitore abilitato WiFi. Sì, avete letto bene. Apparentemente il compito di riscaldare l'acqua al suo punto di ebollizione è qualcosa che può essere realizzato solo con l'integrazione WiFi.
Oh, e ho detto che è venuto con un enorme difetto di sicurezza che aveva il potenziale di far esplodere intere reti WiFi?
Come ha funzionato l'attacco
Sì, risulta che iKettle non è troppo caldo (spiacente) quando si tratta di sicurezza. Con solo un paio di passaggi, puoi convincere a criptare la password WiFi dell'utente. Quindi, come si hackerare un bollitore?
Innanzitutto, l'utente malintenzionato dovrebbe identificare una rete wireless con un iKettle collegato. Quindi, avrebbero creato la propria rete wireless utilizzando lo stesso SSID.
Quando iKettle passa a quella rete, l'utente malintenzionato può connettersi tramite la porta 23 utilizzando Telnet Cos'è Telnet e quali sono le sue funzionalità? [MakeUseOf Explains] Che cos'è Telnet e quali sono i suoi usi? [MakeUseOf Explains] Telnet è uno di quei termini tecnici che potresti occasionalmente ascoltare, ma non in un annuncio o in un elenco di funzioni di qualsiasi prodotto che puoi acquistare. Questo perché è un protocollo o una lingua ... Per saperne di più. Questo è uno strumento disponibile gratuitamente simile a SSH e consente agli utenti di gestire da remoto i computer.
L'iKettle richiederà quindi all'utente malintenzionato un passcode di sei cifre. Questo può essere forzato brutalmente, ma se il bollitore è stato impostato con un dispositivo Android, ha la password predefinita di 000000. Una volta autenticato, l'attaccante dirà al bollitore di elencarne le impostazioni. A quel punto, sputerà l'intera password WiFi memorizzata in cache in testo normale, consentendo a un utente malintenzionato di accedere a tutta la rete.
Il problema della gestione
Un portavoce di Smarter Labs era desideroso di sottolineare che una soluzione a questo problema non è molto lontana.
“Prendiamo molto sul serio la sicurezza qui in Smarter e abbiamo lavorato con i nostri ingegneri per garantire che i nostri nuovi prodotti non incontrino problemi di sicurezza. Aggiorneremo il prodotto effettuato a novembre per eliminare tale problema.”
Hanno anche sottolineato che l'imminente iKettle non sarà interessato:
“Il nostro nuovo prodotto e applicazione hanno caratteristiche di sicurezza aggiornate che non sono rilevanti per [la vulnerabilità].”
Gli utenti con un bollitore interessato possono aggiornarlo utilizzando l'app iKettle, disponibile per iPhone e Android. Nel frattempo, potrebbe essere sensato collegare un secondo router alla rete domestica con un SSID diverso e collegare il bollitore a quello. È possibile trovare un router perfettamente adeguato da Amazon per un minimo di $ 10.
Questo episodio ci ricorda come sono i prodotti di casa intelligente che usiamo essenzialmente computer, e come affrontano gli stessi problemi di sicurezza dei computer tradizionali. È bizzarro immaginare che qualcuno usi Telnet per connettersi a un bollitore, ma a quanto pare è una cosa.
Con l'inevitabile maturazione del settore Smart Home, i produttori saranno sottoposti a crescenti pressioni per valutare la sicurezza dei propri dispositivi. E quando le cose vanno male (come inevitabilmente fanno) possono aspettarsi di tenere i piedi sopra i carboni.
I produttori dovranno progettare i loro prodotti per essere facili da resettare e aggiornare. Dovranno adottare un approccio proattivo alla sicurezza dei loro dispositivi e collaborare con i ricercatori di sicurezza. Dovranno imparare come gestire la divulgazione Informativa completa o responsabile: come vengono scoperte le vulnerabilità di sicurezza Divulgazione completa o responsabile: come vengono scoperte le vulnerabilità di sicurezza Le vulnerabilità di sicurezza nei pacchetti software popolari vengono scoperte continuamente, ma come vengono segnalate agli sviluppatori, e come fanno gli hacker a conoscere le vulnerabilità che possono sfruttare? Per saperne di più e le loro relazioni con la comunità di sicurezza Oracle vuole smettere di inviarli - Ecco perché l'oracolo pazzo ti fa smettere di inviarli - Ecco perché è pazzo Oracle è in acqua calda su un post sul blog sbagliato del capo della sicurezza, Mary Davidson. Questa dimostrazione di come la filosofia della sicurezza di Oracle si allontani dal mainstream non è stata accolta bene nella comunità della sicurezza ... Read More, che alcuni hanno trovato incredibilmente difficile da fare.
I produttori dovranno considerare come garantire la sicurezza dei loro dispositivi, in caso di fallimento. Ancora più importante, dovranno stabilire un consenso con i loro clienti su quanto tempo ci si aspetta che mantengano un determinato prodotto.
Obsolescenza non pianificata
Un mio amico ha un forno a microonde letteralmente antico. Sembra un'iperbole, ma non lo è. Lo ha ereditato dai suoi genitori, che a sua volta l'hanno comprato da un ipermercato ormai defunto negli anni '80. Lasciatemelo mettere nel contesto: il suo microonde è più grande di me.
Ma ecco la cosa; è un microonde perfettamente adeguato. Dopo quasi trent'anni, può ancora trasformare un pasto pronto per lasagne surgelate in una pozza di formaggio fuso fumante, e può ancora facilmente scongelare la carne congelata. Non c'è letteralmente alcun motivo per sostituirlo.
Questo è il problema dei prodotti bianchi tradizionali. Non sono soggetti allo stesso ciclo di obsolescenza pianificata Thou Shalt Consume: la storia dell'elettronica di consumo [caratteristica] che consumi: la storia dell'elettronica di consumo [funzionalità] Ogni anno, le mostre in tutto il mondo presentano nuovi dispositivi high tech; giocattoli costosi che vengono con molte promesse. Mirano a rendere la nostra vita più facile, più divertente, super connessa e, naturalmente, sono lo stato ... Leggi di più che la maggior parte della tecnologia è. Non esiste una cosa come a “ciclo di refrigerazione del frigorifero”. Non esiste una cosa come a “aggiornamento di due anni” nel mondo dei prodotti bianchi.
Un'altra cosa: il forno a microonde del mio amico è stato fabbricato in un paese che non esiste più (la Repubblica Democratica Tedesca, conosciuta anche come Germania Est), da una società che ha cessato di esistere allo stesso modo. Ma questo non gli ha impedito di fare dei nachos a base di formaggio, trent'anni dopo.
È una questione diversa per la tecnologia della casa intelligente. È molto probabile che il bollitore computerizzato, o l'ombrello abilitato per WiFi, richieda aggiornamenti periodici di prestazioni e sicurezza.
Il problema è che i programmatori lo sono costoso, ed è fondamentalmente irrealistico aspettarsi che le società di software mantengano i loro prodotti a tempo indeterminato. Alla fine, hanno dovuto lasciar perdere, come Microsoft ha fatto con Windows XP Cosa significa Windows XPocalypse per te Cosa significa Windows XPocalypse per te Microsoft sta per interrompere il supporto per Windows XP nell'aprile 2014. Ciò ha gravi conseguenze per entrambi imprese e consumatori. Ecco cosa dovresti sapere se stai ancora utilizzando Windows XP. Ulteriori informazioni all'inizio del 2014.
Poi, c'è la piccola questione delle società tecnologiche che tendono a implodere alla fine come la Morte Nera, lasciando una montagna di adesivi per laptop promozionali e codice ora non supportato nella loro scia. Per darti solo tre (di molti) esempi, ci sono Silicon Graphics, Palm e Commodore.
Se si acquista un prodotto che ha intrinsecamente bisogno di molta gestione solo per mantenerlo sicuro e operativo senza intoppi, si accetta una scommessa che la società si attaccherà per supportarla. Non è sempre una scommessa sicura.
Proteggere l'Internet delle cose
In questo momento, l'Internet delle cose è un'idea nascente, ancora semi-formata. È ancora molto un esperimento, con dozzine di domande ancora senza risposta.
I produttori dovrebbero essere responsabili della sicurezza dei prodotti che vendono? Se così, fino a che punto?
Se un'azienda dovrebbe ragionevolmente aspettarsi di supportare un prodotto IoT o Smart Home? Se è così, per quanto tempo?
Cosa succede se il produttore non funziona? Molte startup si sono impegnate a rilasciare il proprio codice sotto il dominio pubblico, in caso di fallimento. I produttori di case intelligenti dovrebbero essere costretti a fare lo stesso?
C'è qualcosa che i consumatori possono fare per garantire che il loro hardware sia sicuro? E quindi?
Queste domande riceveranno una risposta in tempo. Ma fino a quando non lo sono, sospetto che la maggior parte dei consumatori sarà reticente ad abbracciare il mondo di Internet of Things.
Ma cosa ne pensi? Lasciami un commento qui sotto e chattiamo.
Scopri di più su: Violazione della sicurezza, Smart Appliance.