r   e   k   l   a   m   a
r   e   k   l   a   m   a

Miele nie umie podłączać się do Internetu, ignoruje błąd w zmywarce

Strona główna AktualnościOPROGRAMOWANIE

Jeśli ktoś nie umie się łączyć z Internetem, lepiej żeby tego nie robił. Miele niestety nie umie. Cieszący się niezłą opinią producent AGD wypuścił na rynek połączoną z Internetem zmywarkę, z błędem pozwalającym na przeglądanie plików przez HTTP.

Zmywarka ma własny serwer HTTP, konkretnie PST10 WebServer, który przez niedostateczne zabezpieczenia pozwala na przeglądanie plików z zewnątrz (directory traversal bug), także systemowych. Można się na przykład dostać do pliku /etc/shadow, w którym zapisane są nazwy użytkowników, zaszyfrowane hasła i dodatkowe informacje, jak data ostatniej zmiany hasła i parametry polityki zmiany, jak dopuszczalny czas bez zmiany, termin ostrzeżenia o potrzebie zmiany i tym podobne. Mając w domowej czy firmowej sieci taką zmywarkę nie można czuć się bezpiecznie. Wystarczy Telnet, by się do niej dostać bez autoryzacji. W zgłoszeniu znajduje się przykład:

~$ telnet 192.168.0.1 80
GET /../../../../../../../../../../../../etc/shadow HTTP/1.1

r   e   k   l   a   m   a

Atakujący może uzyskać dostęp do wszystkich katalogów, a ponadto ma możliwość wstrzyknięcia własnego kodu i zlecić jego wykonanie serwerowi HTTP. W zasadzie z tego miejsca może zrobić już wszystko, łącznie z atakowaniem innych urządzeń w sieci lokalnej. Tymczasem firma Miele nigdy nie odpowiedziała na zgłoszenie.

Najgorsze jest jednak to, że producent ignoruje zgłoszenia błędu. Do firmy Miele wpłynęły oczywiście raporty z informacjami o błędzie. Zgłoszenie z listopada zostało już upublicznione, ale błąd nie został naprawiony. Ponieważ Miele to firma produkująca AGD, a nie IT, nie ma nawet odpowiedniego systemu zgłaszania błędów w oprogramowaniu, prawdopodobnie nie ma też ludzi odpowiedzialnych za utrzymanie oprogramowania i wydawanie aktualizacji, więc zmywarki zostaną podatne na ataki do końca swoich dni.

W przytoczonym zgłoszeniu chodzi o profesjonalną zmywarkę medyczną PG 8528, przeznaczoną do mycia i dezynfekcji narzędzi i obuwia operacyjnego. Takie urządzenie raczej nie będzie pracowało w czyimś domu, a w przychodni lub szpitalu, gdzie nie brak wrażliwych danych i łakomych kąsków dla hakerów. Nie wiadomo jakich bibliotek Miele używa w swoim oprogramowaniu i czy inne sprzęty odziedziczą lukę. Najlepiej na wszelki wypadek nie podłączać smartrzeczy do Internetu.

Nie tak miał wyglądać ten Internet Rzeczy, o którym marzyli producenci AGD. Pora przestać na siłę pakować WiFi do każdego urządzenia i dać sobie spokój z Internetem… chyba że producenta stać na porządny dział IT.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.