Varför iKettle Hack borde oroa dig (även om du inte äger en)

Varför iKettle Hack borde oroa dig (även om du inte äger en) / Smart hem

När det gäller Smart Home-teknik finns det ingen brist på produkter vars raison d'être är tveksamt, för att uttrycka det mildt. Faktum är att jag skrev en hel artikel Tweeting Fridges och Web Controlled Rice Cookers: 9 av de dumaste Smart Vitvaror Tweeting kylskåp och Web Controlled Rice Cookers: 9 av de dummaste Smart Vitvaror Det finns många smarta hem enheter som är värdiga din tid och pengar. men det finns också slag som aldrig får se dagens ljus. Här är 9 av de värsta. Läs mer om dem i april i år. En av de enheter som jag nämnde var iKettle, genom Smarter Labs.

iKettle 2.0 (Levereras med UK Plug och kräver USA Power Converter) iKettle 2.0 (Levereras med UK Plug och kräver US Power Converter) Köp nu på Amazon

IKettle är en WiFi-aktiverad vattenkokare. Ja, du läste det rätt. Uppenbarligen är uppgiften att värma vatten till sin kokpunkt något som bara kan uppnås med WiFi-integration.

Åh, och nämnde jag att det kom med en massiv, gapande säkerhetsfel som hade potential att blåsa upp hela WiFi-nätverket?

Hur attacken fungerade

Ja, det visar sig att iKettle inte är för varmt (förlåt) när det gäller säkerhet. Med bara några steg kan du övertyga dig om att hosta användarens WiFi-lösenord. Så hur hackar du en vattenkokare?

Först måste attackeren identifiera ett trådlöst nätverk med en iKettle ansluten. Då skulle de skapa sitt eget trådlösa nätverk med samma SSID.

När iKettle byter till det nätverket kan angriparen ansluta till den via port 23 med hjälp av Telnet Vad är Telnet och vad används det för? [MakeUseOf Förklarar] Vad är Telnet och vad är dess användning? [MakeUseOf Explains] Telnet är en av de tekniska termerna som du ibland kan höra, men inte i en annons eller en tvättlista för alla produkter du kan köpa. Det beror på att det är ett protokoll, eller ett språk ... Läs mer. Detta är ett fritt tillgängligt verktyg som liknar SSH, och tillåter användare att fjärrstyra datorer.

IKettle frågar sedan angriparen om ett sexsiffrigt lösenord. Detta kan vara brutalt tvunget, men om vattenkokaren sattes upp med en Android-enhet har den standardlösenordet för 000 tusen. När en gång är autentiserad kommer angriparen att berätta för vattenkokaren att lista sina inställningar. Vid vilken tidpunkt kommer det att spotta hela det cachade WiFi-lösenordet i vanlig text, så att en angripare får tillgång till hela nätverket.

Problemet med förvaltning

En talesman för Smarter Labs var angelägen att betona att en lösning för detta problem inte är långt borta.

“Vi tar säkerhet väldigt seriöst här på Smarter och har arbetat med våra ingenjörer för att säkerställa att våra nya produkter inte stöter på säkerhetsproblem. Vi kommer att uppdatera den genomförda produkten i november för att utrota problemet.”

De betonade också att den kommande iKettle inte kommer att påverkas:

“Vår nya produkt och applikation har uppdaterade säkerhetsfunktioner som inte är relevanta för [sårbarheten].”

Användare med en drabbad vattenkokare kan uppdatera den med hjälp av iKettle-appen, som är tillgänglig för iPhone och Android. Under tiden kan det vara vettigt att fästa en andra router i ditt hemnätverk med en annan SSID, och anslut din vattenkokare till det. Du kan hitta en helt adekvat router från Amazon för så lite som $ 10.

Det här avsnittet påminner oss om hur de smarta hemprodukterna vi använder är huvudsakligen datorer, och hur de möter samma säkerhetsproblem som traditionella datorer gör. Det är bisarrt att föreställa sig någon som använder Telnet för att ansluta till en vattenkokare, men det är tydligen en sak.

Eftersom Smart Home-fältet oundvikligen mognar, kommer tillverkarna att vara under ökat tryck för att överväga säkerheten hos sina enheter. Och när sakerna går fel (som de oundvikligen gör) kan de förvänta sig att få fötterna höll över kolarna.

Tillverkare måste utforma sina produkter så att de är lätta att återställa och att uppdatera. De måste ta ett proaktivt tillvägagångssätt för säkerheten hos sina enheter och arbeta med säkerhetsforskare. De måste lära sig att hantera upplysningar Fullständig eller ansvarsfull upplysning: Hur säkerhetsproblem beskrivs Fullständigt eller ansvarsfullt avslöjande: Hur säkerhetssvårigheter avslöjas Säkerhetsproblem i populära programvarupaket upptäcks hela tiden, men hur rapporteras de till utvecklare, och hur lär sig hackare om sårbarheter som de kan utnyttja? Läs mer och deras relationer med säkerhetsgemenskapen Oracle vill du sluta skicka dem buggar - här är varför det är galet Oracle vill du sluta skicka dem buggar - här är varför det är galet Oracle är i varmt vatten över ett missvisat blogginlägg av säkerhetschef, Mary Davidson. Denna demonstration av hur Oracles säkerhetsfilosofi avviker från det vanliga mottogs inte bra i säkerhetsgemenskapen ... Läs mer, som några har funnit oerhört utmanande att göra.

Tillverkare kommer att behöva överväga hur man säkerställer säkerheten hos sina enheter, om de går bust. Ännu viktigare är att de måste skapa enighet med sina kunder om hur länge de förväntas behålla en viss produkt.

Oplannad föråldring

En vän av mig har en mikrovågsugn som är bokstavligen gamla. Det låter som hyperbolt, men det är det inte. Han ärvde det från sina föräldrar, som i sin tur köpte den från en nuvarande stormarknad på 1980-talet. Låt mig sätta det i sammanhang: hans mikrovågsugn är äldre än mig.

Men här är saken; det är en helt tillräcklig mikrovågsugn. Nästan trettio år kan det fortfarande göra en frusen lasagne-färdig måltid i en ångande pool av smält ost, och det kan fortfarande lätt avfrostas fruset kött. Det finns bokstavligen ingen anledning att ersätta det.

Det handlar om traditionella vita varor. De är inte föremål för samma cykel av planerad obsolens som du ska förbruka: Konsumentelektronikens historia [Feature] Du ska förbruka: Konsumentelektronikens historia [Funktion] Varje år presenterar utställningar runt om i världen nya högteknologiska enheter; dyra leksaker som följer med många löften. De syftar till att göra våra liv enklare, roligare, superanslutna och naturligtvis är de status ... Läs mer att de flesta tekniker är. Det finns ingen sådan sak som en “kyluppdateringscykel”. Det finns ingen sådan sak som en “två års uppgradering” i vitvaruverdenen.

En annan sak: Min väns mikrovågsugn tillverkades i ett land som inte längre existerar (Tyska demokratiska republiken, även känd som Östtyskland), av ett företag som likaledes upphört att existera. Men det var ingen hinder för honom att göra ostiga mikrovågsugn nachos, trettio år senare.

Det är en annan sak för smart home tech. Det är högst troligt att din datoriserade vattenkokare, eller WiFi-aktiverat paraply, kräver periodiska prestanda och säkerhetsuppdateringar.

Problemet är programmerare dyr, och det är i grunden orealistiskt att förvänta sig att programvaruföretag ska behålla sina produkter på obestämd tid. Så småningom måste de släppa det, som Microsoft gjorde med Windows XP Vad Windows XPocalypse betyder för dig Vad Windows XPocalypse betyder för dig Microsoft kommer att döda stöd för Windows XP i april 2014. Det har allvarliga konsekvenser för båda företag och konsumenter. Här är vad du bör veta om du fortfarande kör Windows XP. Läs mer tidigt i 2014.

Sedan är det liten fråga om tekniska företag som har en tendens att så småningom inflytas som The Death Star, lämnar ett berg reklamblad och nuvarande supportkod i deras kölvatten. För att ge dig bara tre (av många) exempel finns Silicon Graphics, Palm och Commodore.

Om du köper en produkt som i sig behöver mycket förvaltning bara för att hålla den säker och fungera smidigt, tar du en spelning som företaget kommer att hålla fast vid för att stödja det. Det är inte alltid en säker satsning.

Skydda Internet av saker

Just nu är Dina Internet en växande idé, fortfarande halvformad. Det är fortfarande väldigt mycket ett experiment, med dussintals frågor som fortfarande inte besvaras.

Skulle tillverkare vara ansvariga för säkerheten för de produkter som de säljer? Om så är fallet, i vilken utsträckning?

Skulle ett företag rimligen förväntas stödja en IoT eller Smart Home-produkt? Om så är fallet, hur länge?

Vad händer om tillverkaren misslyckas? Många startups har lovat att släppa sin kod under det offentliga området, om de skulle misslyckas. Ska smarta hemmaproducenter vara tvungna att göra detsamma?

Finns det något konsumenter kan göra för att säkerställa att deras hårdvara är säker? I så fall vad?

Dessa frågor kommer att besvaras i tid. Men tills de är, misstänker jag att majoriteten av konsumenterna kommer att vara reticenta för att omfamna Internet of Things World.

Men vad tycker du? Lämna mig en kommentar nedan, och vi chattar.

Utforska mer om: Säkerhetsbrott, smarttelefon.