Advertentie
Als het gaat om Smart Home-technologie, is er geen gebrek aan producten waarvan de bestaansreden twijfelachtig is, om het zacht uit te drukken. Sterker nog, ik schreef een heel artikel Tweeting Fridges and Web Controlled Rice Cookers: 9 van de domste slimme huishoudelijke apparatenEr zijn veel slimme apparaten voor thuis die uw tijd en geld waard zijn. maar er zijn ook soorten die nooit het daglicht mogen zien. Hier zijn 9 van de ergste. Lees verder op hen in april van dit jaar. Een van de apparaten die ik noemde was de iKettle, door Smarter Labs.
De iKettle is een waterkoker met wifi. Ja, je leest het goed. Blijkbaar is de taak om water tot het kookpunt te verwarmen iets dat alleen kan worden bereikt met wifi-integratie.
Oh, en had ik al gezegd dat het kwam met een enorme, gapende beveiligingsfout die het potentieel had om hele wifi-netwerken open te blazen?
Hoe de aanval werkte
Ja, het blijkt dat de iKettle niet te heet is (Sorry) als het gaat om beveiliging. Met slechts een paar stappen kunt u hem ervan overtuigen het wifi-wachtwoord van de gebruiker op te hoesten. Dus, hoe hack je een waterkoker?
Ten eerste moet de aanvaller een draadloos netwerk identificeren met een aangesloten iKettle. Vervolgens creëerden ze hun eigen draadloze netwerk met dezelfde SSID.
Wanneer de iKettle naar dat netwerk overschakelt, kan de aanvaller er verbinding mee maken via poort 23 met Telnet Wat is Telnet en wat zijn de toepassingen ervan? [MakeUseOf Explains]Telnet is een van die technische termen die je af en toe hoort, maar niet in een advertentie of een waslijst met producten die je misschien koopt. Dat komt omdat het een protocol is of een taal ... Lees verder . Dit is een gratis beschikbare tool die lijkt op SSH en waarmee gebruikers computers op afstand kunnen beheren.
De iKettle vraagt de aanvaller vervolgens om een wachtwoord van zes cijfers. Dit kan bruut worden afgedwongen, maar als de waterkoker is ingesteld met een Android-apparaat, heeft deze het standaardwachtwoord van 000000. Eenmaal geauthenticeerd, zal de aanvaller de ketel vertellen om de instellingen te vermelden. Op dat moment spuugt het het volledige wifi-wachtwoord in de cache in platte tekst uit, zodat een aanvaller toegang kan krijgen tot het hele netwerk.
Het probleem van management
Een woordvoerder van Smarter Labs wilde graag benadrukken dat een oplossing voor dit probleem niet ver weg is.
"Bij Smarter nemen we beveiliging zeer serieus en werken we samen met onze technici om ervoor te zorgen dat onze nieuwe producten geen beveiligingsproblemen ondervinden. We zullen het betreffende product in november bijwerken om dat probleem op te lossen. "
Ze benadrukten ook dat de komende iKettle niet zal worden beïnvloed:
"Ons nieuwe product en onze applicatie hebben bijgewerkte beveiligingsfuncties die niet relevant zijn voor [de kwetsbaarheid]."
Gebruikers met een getroffen waterkoker kunnen deze updaten met de iKettle-app, beschikbaar voor iPhone en Android. In de tussentijd is het misschien verstandig om een tweede router met een andere SSID op je thuisnetwerk aan te sluiten en daar je waterkoker op aan te sluiten. Je kunt een perfect passende router van Amazon vinden voor slechts $ 10.
Deze aflevering herinnert ons eraan hoe de smart home-producten die we gebruiken zijn in wezen computersen hoe ze met dezelfde beveiligingsproblemen worden geconfronteerd als traditionele computers. Het is bizar om je voor te stellen dat iemand Telnet gebruikt om verbinding te maken met een waterkoker, maar blijkbaar is het iets.
Naarmate het Smart Home-veld onvermijdelijk volwassen wordt, zullen fabrikanten onder toenemende druk komen te staan om de beveiliging van hun apparaten te overwegen. En als er iets misgaat (zoals ze onvermijdelijk doen), kunnen ze verwachten dat hun voeten boven de kolen worden gehouden.
Fabrikanten moeten hun producten zo ontwerpen dat ze gemakkelijk kunnen worden gereset en geüpdatet. Ze moeten proactief omgaan met de beveiliging van hun apparaten en samenwerken met beveiligingsonderzoekers. Ze zullen moeten leren hoe de openbaarmaking te beheren Volledige of verantwoordelijke openbaarmaking: hoe beveiligingslekken worden onthuldBeveiligingsproblemen in populaire softwarepakketten worden de hele tijd ontdekt, maar hoe worden ze gerapporteerd aan ontwikkelaars en hoe leren hackers welke kwetsbaarheden ze kunnen misbruiken? Lees verder en hun relaties met de beveiligingsgemeenschap Oracle wil dat u stopt met het verzenden van bugs - hier is waarom dat gek isOracle zit in de problemen met een misleidende blogpost van beveiligingschef Mary Davidson. Deze demonstratie van hoe Oracle's beveiligingsfilosofie afwijkt van de mainstream werd niet goed ontvangen in de beveiligingsgemeenschap ... Lees verder , wat sommigen ongelooflijk moeilijk vonden om te doen.
Fabrikanten zullen moeten overwegen hoe ze de beveiliging van hun apparaten kunnen garanderen, als ze kapot gaan. Wat nog belangrijker is, ze zullen met hun klanten een consensus moeten bereiken over hoe lang van hen verwacht wordt dat ze een bepaald product zullen onderhouden.
Ongeplande veroudering
Een vriend van mij heeft een magnetron letterlijk oud. Het klinkt als overdrijving, maar dat is het niet. Hij erfde het van zijn ouders, die het op hun beurt in de jaren tachtig kochten van een inmiddels ter ziele gegane hypermarkt. Laat me dat in context plaatsen: zijn magnetron is ouder dan ik.
Maar hier is het ding; het is een perfect passende magnetron. Bijna dertig jaar later kan het nog steeds een bevroren lasagne-kant-en-klaarmaaltijd omzetten in een dampende pool van gesmolten kaas, en het kan nog steeds gemakkelijk bevroren vlees ontdooien. Er is letterlijk geen reden om het te vervangen.
Dat is het ding met traditionele witgoed. Ze zijn niet onderworpen aan hetzelfde cyclus van geplande veroudering Gij zult consumeren: het verhaal van consumentenelektronica [Feature]Elk jaar presenteren tentoonstellingen over de hele wereld nieuwe high-tech apparaten; duur speelgoed met veel beloften. Ze willen ons leven gemakkelijker, leuker, super verbonden maken en natuurlijk zijn ze status ... Lees verder dat de meeste tech is. Er bestaat niet zoiets als een 'verversingscyclus van de koelkast'. Er bestaat niet zoiets als een "upgrade van twee jaar" in de witgoedwereld.
Een ander ding: de magnetron van mijn vriend is vervaardigd in een land dat niet meer bestaat (de Duitse Democratische Republiek, ook bekend als Oost-Duitsland), door een bedrijf dat op dezelfde manier heeft opgehouden te bestaan. Maar dat belette hem niet dertig jaar later goedkope kaasnacho's te maken.
Het is een andere zaak voor slimme huistechnologie. Het is zeer waarschijnlijk dat uw geautomatiseerde waterkoker of paraplu met wifi periodieke prestatie- en beveiligingsupdates vereist.
Het probleem is dat programmeurs dat zijn duur, en het is fundamenteel onrealistisch om te verwachten dat softwarebedrijven hun producten voor onbepaalde tijd zullen onderhouden. Uiteindelijk moeten ze het loslaten, zoals Microsoft deed met Windows XP Wat de Windows XPocalypse voor u betekentMicrosoft gaat de ondersteuning voor Windows XP in april 2014 stopzetten. Dit heeft ernstige gevolgen voor zowel bedrijven als consumenten. Dit is wat u moet weten als u nog steeds Windows XP gebruikt. Lees verder begin 2014.
Dan is er de kleine kwestie van technologiebedrijven die de neiging hebben om uiteindelijk te imploderen zoals The Death Star, waardoor een berg promotionele laptopstickers en nu niet-ondersteunde code achterblijft. Om u slechts drie (van de vele) voorbeelden te geven, zijn er Silicon Graphics, Palm en Commodore.
Als u een product koopt dat inherent veel beheer nodig heeft om het veilig en soepel te laten werken, neemt u een gok dat het bedrijf zal blijven vasthouden om het te ondersteunen. Dat is niet altijd een veilige gok.
Het internet der dingen beschermen
Op dit moment is het internet der dingen een ontluikend idee, nog steeds halfgevormd. Het is nog steeds een experiment, met tientallen vragen die nog steeds niet beantwoord zijn.
Moeten fabrikanten verantwoordelijk zijn voor de veiligheid van de producten die ze verkopen? Zo ja, in welke mate?
Moet van een bedrijf redelijkerwijs worden verwacht dat het een IoT- of Smart Home-product ondersteunt? Zo ja, hoe lang?
Wat gebeurt er als de fabrikant faalt? Veel startups hebben beloofd hun code onder het publieke domein vrij te geven, mocht dit niet lukken. Moeten fabrikanten van slimme huizen gedwongen worden hetzelfde te doen?
Kunnen consumenten iets doen om ervoor te zorgen dat hun hardware veilig is? Zo ja, wat dan?
Deze vragen worden tijdig beantwoord. Maar totdat ze dat zijn, vermoed ik dat de meerderheid van de consumenten terughoudend zal zijn om de wereld van het internet der dingen te omarmen.
Maar wat denk jij? Laat hieronder een reactie achter en we zullen chatten.
Matthew Hughes is een softwareontwikkelaar en schrijver uit Liverpool, Engeland. Hij wordt zelden gevonden zonder een kopje sterke zwarte koffie in zijn hand en is dol op zijn Macbook Pro en zijn camera. Je kunt zijn blog lezen op http://www.matthewhughes.co.uk en volg hem op twitter op @matthewhughes.