Hvorfor iKettle Hack burde bekymre deg (selv om du ikke eier en)
Når det gjelder Smart Home-teknologi, er det ingen mangel på produkter hvis raison d'être er tvilsomt, for å si det mildt. Faktisk skrev jeg en hel artikkel Tweeting Fridges og Web Controlled Rice Cookers: 9 av de dumeste Smart Home Appliances Tweeting Kjøleskap og Web Controlled Rice Cookers: 9 av de dumeste Smart Hvitevarer Det er mange smarte hjem enheter som er verdige til din tid og penger. men det er også slags som aldri bør se dagens lys. Her er 9 av de verste. Les mer om dem i april i år. En av enhetene som jeg nevnte var iKettle, ved Smarter Labs.
iKettle 2.0 (Leveres med UK Plug og krever US Power Converter) iKettle 2.0 (Leveres med UK Plug og krever US Power Converter) Kjøp nå på Amazon
IKettle er en WiFi-aktivert vannkoker. Ja, du leser det riktig. Tilsynelatende er oppdraget med å varme vann til sitt kokepunkt noe som bare kan oppnås med WiFi-integrasjon.
Åh, og jeg nevnte det kom med en massiv, gapende sikkerhetsfeil som hadde potensial til å blåse opp hele WiFi-nettverk?
Hvordan angrepet arbeidet
Ja, det viser seg at iKettle ikke er for varmt (unnskyld) når det gjelder sikkerhet. Med bare et par trinn kan du overbevise det om å hoste opp brukerens WiFi-passord. Så, hvordan hakker du en vannkoker?
For det første må angriperen identifisere et trådløst nettverk med en iKettle tilkoblet. Da ville de lage sitt eget trådløse nettverk ved hjelp av samme SSID.
Når iKettle bytter til dette nettverket, kan angriperen koble seg til det via port 23 ved hjelp av Telnet Hva er Telnet og hva er det som bruker? [MakeUseOf Forklarer] Hva er Telnet og hva er dets bruk? [MakeUseOf Forklarer] Telnet er en av de tekniske vilkårene du kan av og til høre, men ikke i en annonse eller en klesvaskliste over noe produkt du kan kjøpe. Det er fordi det er en protokoll, eller et språk ... Les mer. Dette er et fritt tilgjengelig verktøy som ligner på SSH, og tillater brukere å styre datamaskiner eksternt.
IKettle vil da spørre angriperen for et seks sifret passord. Dette kan være brutt-tvunget, men hvis kjelen ble satt opp med en Android-enhet, har den standard passordet til 000000. Når du er autentisert, vil angriperen fortelle vannkoker å liste inn innstillingene. På hvilket tidspunkt spytter det hele cachert WiFi-passordet i ren tekst, slik at en angriper får tilgang til hele nettverket.
Problemet med ledelsen
En talsmann for Smartere Labs var ivrig etter å understreke at en løsning for dette problemet ikke er langt unna.
“Vi tar sikkerhet veldig alvorlig her på Smarter og har jobbet med våre ingeniører for å sikre at våre nye produkter ikke støter på sikkerhetsproblemer. Vi oppdaterer det utførte produktet i november for å utrydde det problemet.”
De understreket også at den kommende iKettle ikke vil bli påvirket:
“Vårt nye produkt og program har oppdaterte sikkerhetsfunksjoner som ikke er relevante for [sikkerhetsproblemet].”
Brukere med en berørt vannkoker kan oppdatere den ved hjelp av iKettle-appen, tilgjengelig for iPhone og Android. I mellomtiden kan det være fornuftig å knytte en andre ruteren til hjemmenettverket ditt med en annen SSID, og koble kjelen til det. Du kan finne en helt tilstrekkelig router fra Amazon for så lite som $ 10.
Denne episoden minner oss om hvordan de smarte hjemmeprodukter vi bruker er hovedsakelig datamaskiner, og hvordan de møter de samme sikkerhetsproblemene som tradisjonelle datamaskiner gjør. Det er bisarrt å forestille seg at noen bruker Telnet til å koble til en vannkoker, men det er tilsynelatende en ting.
Når Smart Home-feltet uunngåelig modnes, vil produsentene være under økt press for å vurdere sikkerheten til enhetene. Og når ting går galt (som de uunngåelig gjør), kan de forvente å holde føttene holdt over kulene.
Produsenter må designe sine produkter for å være enkle å tilbakestille, og for å oppdatere. De må ta en proaktiv tilnærming til sikkerheten til sine enheter, og arbeide med sikkerhetsforskere. De må lære å håndtere offentliggjøring Fullstendig eller ansvarlig avsløring: Hvordan sikkerhetsproblemer blir avslørt Fullstendig eller ansvarlig avsløring: Hvordan sikkerhetsproblemer blir avslørt Sikkerhetsproblemer i populære programvarepakker blir oppdaget hele tiden, men hvordan rapporteres de til utviklere, og hvordan lærer hackere om sårbarheter som de kan utnytte? Les mer og deres forhold til sikkerhetssamfundet Oracle vil du slutte å sende dem feil - Her er hvorfor det er gal Oracle vil du slutte å sende dem feil - Her er hvorfor det er gal Oracle er i varmt vann over et misforstått blogginnlegg av sikkerhetssjef, Mary Davidson. Denne demonstrasjonen av hvordan Oracles sikkerhetsfilosofi avviker fra det vanlige ble ikke godt mottatt i sikkerhetssamfunnet ... Les mer, som noen har funnet utrolige utfordringer å gjøre.
Produsenter må vurdere hvordan de skal sikre sikkerheten til deres enheter, i tilfelle de går bust. Enda viktigere, de må etablere enighet med sine kunder om hvor lenge de forventes å opprettholde et bestemt produkt.
Uplanlagt forverring
En venn av meg har en mikrobølgeovn som er bokstavelig talt gammel. Det høres ut som hyperbole, men det er det ikke. Han arvet det fra foreldrene sine, som i sin tur kjøpte den fra et nådrevet hypermarked på 1980-tallet. La meg sette det i kontekst: hans mikrobølgeovn er eldre enn meg.
Men her er saken; det er en helt tilstrekkelig mikrobølgeovn. Nesten tretti år senere kan det fortsatt bli et frosset lasagne-ferdig måltid i et dampende basseng av smeltet ost, og det kan fortsatt enkelt avfrostes frosset kjøtt. Det er bokstavelig talt ingen grunn til å erstatte det.
Det handler om tradisjonelle hvitevarer. De er ikke gjenstand for den samme syklusen med planlagt forgjengelighet du skal forbruke: Historien om forbrukerelektronikk [Feature] Du skal forbruke: Historien om forbrukerelektronikk [Funksjon] Hvert år viser utstillinger over hele verden nye høyteknologiske enheter; dyre leker som følger med mange løfter. De tar sikte på å gjøre livet enklere, morsommere, superforbundet, og selvfølgelig er de status ... Les mer at mest teknikk er. Det er ikke slikt som en “kjøleoppdateringsprogram”. Det er ikke slikt som en “to års oppgradering” i hvitevarer verden.
En annen ting: Min venns mikrobølgeovn ble produsert i et land som ikke lenger eksisterer (Den tyske demokratiske republikk, også kjent som Øst-Tyskland), av et selskap som også har opphørt å eksistere. Men det er ingen hindring for ham å lage ostes mikrobølgeovn nachos, tretti år senere.
Det er en annen sak for smart home tech. Det er høyst sannsynlig at din datakabel, eller WiFi-aktivert paraply, krever periodiske ytelses- og sikkerhetsoppdateringer.
Problemet er at programmerere er dyrt, og det er fundamentalt urealistisk å forvente at programvarebedrifter skal vedlikeholde sine produkter på ubestemt tid. Til slutt må de la det gå som Microsoft gjorde med Windows XP Hva Windows XPocalypse betyr for deg Hva Windows XPocalypse betyr for deg Microsoft kommer til å drepe støtte for Windows XP i april 2014. Dette har alvorlige konsekvenser for begge bedrifter og forbrukere. Her er det du bør vite om du fortsatt kjører Windows XP. Les mer tidlig i 2014.
Deretter er det små spørsmålet om teknologibedrifter som har en tendens til å forfølge som The Death Star, etterlater et fjell reklame bærbare klistremerker og nå-ikke-støttet kode i kjølvannet. For å gi deg bare tre (av mange) eksempler, er det Silicon Graphics, Palm og Commodore.
Hvis du kjøper et produkt som i seg selv trenger mye ledelse bare for å holde det sikkert og fungerer greit, tar du en gamble som selskapet vil holde seg for å støtte den. Det er ikke alltid en trygg innsats.
Beskytte Internett av ting
Akkurat nå er ting som er en nasende ide, fortsatt halvformet. Det er fortsatt veldig mye et eksperiment, med dusinvis av spørsmål som fortsatt ikke er besvart.
Bør produsentene være ansvarlig for sikkerheten til produktene de selger? I så fall, i hvilken grad?
Skulle et selskap med rimelighet forventes å støtte et IoT eller Smart Home-produkt? Hvis så, hvor lenge?
Hva skjer hvis produsenten svikter? Mange startups har lovet å frigjøre sin kode under det offentlige området, hvis de skulle mislykkes. Skal smarte hjemmeprodusenter bli tvunget til å gjøre det samme?
Er det noe forbrukere kan gjøre for å sikre at maskinvaren er sikker? Hvis ja, hva?
Disse spørsmålene vil bli besvart i tide. Men inntil de er, mistenker jeg at flertallet av forbrukerne vil være reticente til å omfavne Internett av Ting verden.
Men hva synes du? Gi meg en kommentar nedenfor, og vi vil chatte.
Utforsk mer om: Sikkerhetsbrudd, Smart Appliance.