Pourquoi le piratage iKettle devrait vous inquiéter (même si vous n'en possédez pas)
En matière de technologie Smart Home, il ne manque pas de produits dont la raison d'être est discutable, pour ne rien dire. En fait, j’ai écrit un article entier sur les frigos Tweeting et les cuiseurs à riz avec contrôle Web: 9 des plus stupéfiants appareils ménagers intelligents. Les frigos Tweeting et les cuiseurs à riz avec contrôle Web: 9 des plus beaux appareils ménagers intelligents. votre temps et votre argent mais il y a aussi des genres qui ne devraient jamais voir la lumière du jour. Voici 9 des pires. Lire plus sur eux en avril de cette année. L'un des appareils que j'ai mentionnés était le iKettle de Smarter Labs.
iKettle 2.0 (livré avec UK Plug et nécessite le convertisseur de puissance US) iKettle 2.0 (livré avec UK Plug et nécessite le convertisseur de puissance US) Acheter maintenant sur Amazon
L'iKettle est une bouilloire compatible WiFi. Oui, tu l'as bien lu. Apparemment, le chauffage de l'eau jusqu'à son point d'ébullition est une tâche qui ne peut être accomplie qu'avec une intégration WiFi.
Oh, et ai-je mentionné que cela venait avec une faille de sécurité énorme et béante qui pouvait potentiellement faire exploser des réseaux WiFi entiers?
Comment l'attaque a fonctionné
Oui, il s'avère que l'iKettle n'est pas trop chaud (Pardon) en matière de sécurité. En quelques étapes seulement, vous pouvez le convaincre de motiver le mot de passe WiFi de l'utilisateur. Alors, comment pouvez-vous pirater une bouilloire??
Tout d’abord, l’attaquant devrait identifier un réseau sans fil avec un iKettle connecté. Ensuite, ils créeraient leur propre réseau sans fil en utilisant le même SSID.
Lorsque l'iKettle bascule sur ce réseau, l'attaquant peut s'y connecter via le port 23 à l'aide de Telnet. Qu'est-ce que Telnet et quelles sont ses utilisations? [MakeUseOf explique] Qu'est-ce que Telnet et quelles sont ses utilisations? [MakeUseOf explique] Telnet est l’un de ces termes techniques que vous pouvez parfois entendre, mais pas dans une liste de listes de fonctionnalités ou de produits que vous pouvez acheter. C'est parce que c'est un protocole, ou une langue… Lire la suite. Cet outil disponible gratuitement est similaire à SSH et permet aux utilisateurs de gérer des ordinateurs à distance..
L'iKettle demandera alors à l'attaquant de saisir un code d'authentification à six chiffres. Cela peut être forcé, mais si la bouilloire a été configurée avec un appareil Android, le mot de passe par défaut est 000000. Une fois authentifié, l'attaquant indiquera à la bouilloire de répertorier ses paramètres. À ce stade, le mot de passe WiFi mis en cache est entièrement recruté, ce qui permet à un attaquant d'accéder à l'intégralité du réseau..
Le problème de la gestion
Un porte-parole de Smarter Labs était impatient de souligner qu'une solution à ce problème n'était pas loin.
“Chez Smarter, nous prenons la sécurité très au sérieux et travaillons avec nos ingénieurs pour nous assurer que nos nouveaux produits ne rencontrent pas de problèmes de sécurité. Nous mettrons à jour le produit concerné en novembre pour éliminer ce problème..”
Ils ont également souligné que le prochain iKettle ne sera pas affecté:
“Notre nouveau produit et notre nouvelle application ont des fonctionnalités de sécurité mises à jour qui ne sont pas pertinentes pour [la vulnérabilité]..”
Les utilisateurs possédant une bouilloire affectée peuvent la mettre à jour à l'aide de l'application iKettle, disponible pour iPhone et Android. En attendant, il peut être judicieux de connecter un deuxième routeur à votre réseau domestique avec un SSID différent et de connecter votre bouilloire à ce dernier. Vous pouvez trouver un routeur parfaitement adéquat chez Amazon pour aussi peu que 10 $.
Cet épisode nous rappelle à quel point les produits de maison intelligente que nous utilisons sont essentiellement des ordinateurs, et comment ils font face aux mêmes problèmes de sécurité que les ordinateurs traditionnels. C'est bizarre d'imaginer que quelqu'un utilise Telnet pour se connecter à une bouilloire, mais apparemment c'est une chose.
À mesure que le domaine de la maison intelligente mûrira inévitablement, les fabricants seront de plus en plus pressés de prendre en compte la sécurité de leurs appareils. Et quand les choses tournent mal (comme ils le font inévitablement), ils peuvent s’attendre à garder les pieds au-dessus des charbons ardents..
Les fabricants devront concevoir leurs produits de manière à pouvoir être réinitialisés et mis à jour facilement. Ils devront adopter une approche proactive de la sécurité de leurs appareils et travailler avec des chercheurs en sécurité. Divulgation complète ou responsable: divulgation de vulnérabilités de sécurité Divulgation complète ou responsable: divulgation de vulnérabilités de sécurité Des vulnérabilités de sécurité dans des progiciels populaires sont découvertes à tout moment, mais comment sont-elles rapportées aux développeurs, et comment les pirates informatiques découvrent-ils les vulnérabilités qu’ils peuvent exploiter? En savoir plus et leurs relations avec la communauté de sécurité Oracle veut que vous arrêtiez de leur envoyer des bogues - Voici pourquoi c'est fou Oracle veut que vous cessiez de leur envoyer des bogues - Voici pourquoi c'est fou Oracle est en ébullition pour un blog égaré du chef de la sécurité, Mary Davidson. Cette démonstration de la différence de la philosophie de sécurité d'Oracle par rapport à la norme n'a pas été bien accueillie par la communauté de la sécurité… En savoir plus, ce que certains ont trouvé extrêmement difficile à faire.
Les fabricants devront réfléchir aux moyens d'assurer la sécurité de leurs appareils en cas de panne. Plus important encore, ils devront établir un consensus avec leurs clients sur la durée pendant laquelle ils devront conserver un produit particulier..
Obsolescence imprévue
Un de mes amis a un micro-ondes qui est littéralement ancien. Cela ressemble à une hyperbole, mais ce n’est pas le cas. Il en a hérité de ses parents, qui l'ont acheté à un hypermarché aujourd'hui disparu, dans les années 1980. Permettez-moi de mettre cela dans le contexte: son micro-ondes est plus vieux que moi.
Mais voici la chose. c'est un micro-ondes parfaitement adapté. Près de trente ans plus tard, il peut encore transformer un plat cuisiné à la lasagne surgelée en une marmite fumante de fromage en fusion et décongeler facilement la viande congelée. Il n'y a littéralement aucune raison de le remplacer.
C'est la chose à propos des produits blancs traditionnels. Ils ne sont pas soumis au même cycle d’obsolescence programmée: Tu vas consommer: l’histoire de l’électronique grand public [Feature] Tu dois consommer: l’histoire de l’électronique grand public [Feature] Chaque année, des expositions du monde entier présentent de nouveaux appareils de haute technologie; jouets coûteux qui viennent avec beaucoup de promesses. Ils ont pour objectif de rendre notre vie plus facile, plus amusante, super connectée et, bien sûr, ils sont au statut… Lire la suite Il n'y a pas une telle chose comme “cycle de rafraîchissement du réfrigérateur”. Il n'y a pas une telle chose comme “mise à niveau deux ans” dans le monde des produits blancs.
Autre chose: les micro-ondes de mon ami ont été fabriqués dans un pays qui n'existe plus (la République démocratique allemande, également connue sous le nom de Allemagne de l'Est), par une société qui a également cessé d'exister. Mais cela ne l'a pas empêché de fabriquer des nachos au micro-ondes au fromage, trente ans plus tard.
Il en va différemment pour la technologie domotique intelligente. Il est fort probable que votre bouilloire informatisée, ou votre parapluie activé Wi-Fi, nécessitera des mises à jour régulières des performances et de la sécurité..
Le problème est que les programmeurs sont coûteux, et il est fondamentalement irréaliste de s'attendre à ce que les sociétés de logiciels maintiennent leurs produits indéfiniment. Finalement, ils doivent laisser tomber, comme Microsoft l’a fait avec Windows XP. Ce que Windows XP signifie pour vous Ce que Windows XP signifie pour vous Microsoft va supprimer le support de Windows XP en avril 2014. Cela a de graves conséquences pour les deux entreprises et consommateurs. Voici ce que vous devriez savoir si vous utilisez toujours Windows XP. Lire la suite début 2014.
Ensuite, il y a le petit problème des entreprises de haute technologie qui ont tendance à finir par imploser comme The Death Star, laissant derrière elles une montagne d'autocollants promotionnels pour ordinateurs portables et de codes non pris en charge. Pour ne citer que trois exemples (parmi de nombreux), il y a Silicon Graphics, Palm et Commodore..
Si vous achetez un produit qui nécessite intrinsèquement beaucoup de gestion, juste pour le maintenir en sécurité et le bon fonctionnement de votre système, vous prenez le risque que l'entreprise reste sur place pour le prendre en charge. Ce n'est pas toujours une valeur sûre.
Protéger l'Internet des objets
À l'heure actuelle, l'Internet des objets est une idée naissante, encore à moitié formée. C'est encore beaucoup une expérience, avec des dizaines de questions toujours sans réponse.
Les fabricants devraient-ils être responsables de la sécurité des produits qu'ils vendent?? Si oui, dans quelle mesure?
Si une entreprise est raisonnablement censée prendre en charge un produit IoT ou Smart Home? Si oui, combien de temps?
Que se passe-t-il si le fabricant échoue?? De nombreuses startups se sont engagées à publier leur code dans le domaine public en cas d'échec. Les fabricants de maisons intelligentes devraient-ils être obligés de faire de même??
Les consommateurs peuvent-ils faire quelque chose pour assurer la sécurité de leur matériel?? Si oui, quoi?
Ces questions recevront une réponse à temps. En attendant, je pense que la majorité des consommateurs hésiteront à adopter le monde de l'Internet des objets.
Mais que pensez-vous? Laissez-moi un commentaire ci-dessous, et nous allons discuter.
Explorer plus sur: Atteinte à la sécurité, Smart Appliance.