Tak, można zhakować ekspres do kawy. Powinno to dać do myślenia Strona główna Aktualności28.09.2020 11:20 fot. Guido Mieth/Getty Images Udostępnij: O autorze Jakub Krawczyński @jak.kra Urządzenia inteligentnego domu ułatwiają nam życie, ale jak każde urządzenie typu IoT (internet of things – internet rzeczy), są one także podatne na ataki hakerów. Jeden z badaczy zabezpieczeń z firmy Avast postanowił sprawdzić, w jaki sposób można zhakować ekspres do kawy i jaki będzie tego skutek. Okazało się, że możliwości jest całkiem sporo. Sprawa dotyczy produktów firmy Smarter, między innymi starszej wersji ekspresu do kawy Coffee Maker z 2015 r. Urządzenia z tej serii, które oparte były na układzie ESP8266 nie posiadały narzędzi do weryfikacji cyfrowych podpisów firmware'u, a także nie obsługiwały bezpiecznej enklawy. W wyniku tego można było podmienić fabryczne oprogramowanie na takie, które zawierało złośliwy kod. W roku 2017 r. firma Smarter wydała wersję Coffee Maker 2.0 z nowym układem, w którym już powyższych podatności nie było. Producent nie poinformował jednak konsumentów o problemach ani nie opublikował identyfikatora podatności do bazy CVE. Nic więc dziwnego, że baza danych WiGLE wykazała, że starsza, podatna wersja ekspresu jest nadal w użyciu. Martin Hron, pracownik firmy Avast postanowił sprawdzić, jakie psikusy mogą zrobić cyber-włamywacze. Okazało się, że jest tego całkiem sporo. Po zhakowaniu ekspresu do kawy można ręcznie uruchomić podgrzewanie wody, opróżnić ją, uruchomić mielenie ziaren, a co więcej – wyświetlić komunikat z żądaniem zapłaty okupu przy jednoczesnym pikaniu urządzenia. Jedynym sposobem na pozbycie się tych nieprzyjemności jest odłączenie ekspresu z gniazdka. Smarter Coffee Maker przy pierwszym podłączeniu od razu zachowuje się niczym punkt dostępu Wi-Fi, który na dodatek wykorzystuje niezabezpieczone połączenie, aby połączyć się z mobilną aplikacją producenta (która służy do konfiguracji ekspresu). Aktualizacje firmware'u odbywały się również za pomocą tej aplikacji. Tym samym, przy braku szyfrowania i autoryzacji ze strony telefonu, cały ten wyżej opisany chaos można było wywołać z zewnątrz. Hron postanowił rozmontować urządzenie, aby ustalić, jaki dokładnie układy był umieszczony w środku, a następnie opracował specjalny malware napisany w pythonie. Badacz firmy Avast postanowił stworzyć żądanie okupu połączone z wyżej opisanymi psikusami ekspresu. Aby wywołać atak wystarczyło znajdować się w zasięgu Wi-Fi, a jeśli urządzenie nie było skonfigurowane, wystarczyło odnaleźć SSID, które emitował Smarter Coffee Maker. Warto odnotować, że po takim "włamie" właściciel ekspresu nie może dokonywać aktualizacji swojego urządzenia i pozostanie już na zawsze podatny na dalsze ataki. Tego typu manipulacja nie jest jeszcze realnym problemem, którego trzeba się obawiać. Jednakże autor eksperymentu chciał zgłębić, jakie możliwości dają drobne sprzęty gospodarstwa domowego. Oprogramowanie Bezpieczeństwo SmartDom Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Garmin powrócił. Ponoć zapłacił okup, ale jest kruczek 28 lip 2020 Jakub Krawczyński Oprogramowanie Bezpieczeństwo 82 Śmiertelny ransomware. Atak na szpital przyczynił się do śmierci pacjentki 18 wrz 2020 Jakub Krawczyński Internet Bezpieczeństwo 48 Software AG ofiarą ataku ransomware. Hakerzy żądają 20 milionów dolarów okupu 12 paź 2020 Arkadiusz Stando Oprogramowanie Biznes Bezpieczeństwo 101 Tesla miała paść ofiarą cyberataku. Haker z Rosji chciał zapłacić milion dolarów 28 sie 2020 Oskar Ziomek Biznes Bezpieczeństwo TechMoto 60
Udostępnij: O autorze Jakub Krawczyński @jak.kra Urządzenia inteligentnego domu ułatwiają nam życie, ale jak każde urządzenie typu IoT (internet of things – internet rzeczy), są one także podatne na ataki hakerów. Jeden z badaczy zabezpieczeń z firmy Avast postanowił sprawdzić, w jaki sposób można zhakować ekspres do kawy i jaki będzie tego skutek. Okazało się, że możliwości jest całkiem sporo. Sprawa dotyczy produktów firmy Smarter, między innymi starszej wersji ekspresu do kawy Coffee Maker z 2015 r. Urządzenia z tej serii, które oparte były na układzie ESP8266 nie posiadały narzędzi do weryfikacji cyfrowych podpisów firmware'u, a także nie obsługiwały bezpiecznej enklawy. W wyniku tego można było podmienić fabryczne oprogramowanie na takie, które zawierało złośliwy kod. W roku 2017 r. firma Smarter wydała wersję Coffee Maker 2.0 z nowym układem, w którym już powyższych podatności nie było. Producent nie poinformował jednak konsumentów o problemach ani nie opublikował identyfikatora podatności do bazy CVE. Nic więc dziwnego, że baza danych WiGLE wykazała, że starsza, podatna wersja ekspresu jest nadal w użyciu. Martin Hron, pracownik firmy Avast postanowił sprawdzić, jakie psikusy mogą zrobić cyber-włamywacze. Okazało się, że jest tego całkiem sporo. Po zhakowaniu ekspresu do kawy można ręcznie uruchomić podgrzewanie wody, opróżnić ją, uruchomić mielenie ziaren, a co więcej – wyświetlić komunikat z żądaniem zapłaty okupu przy jednoczesnym pikaniu urządzenia. Jedynym sposobem na pozbycie się tych nieprzyjemności jest odłączenie ekspresu z gniazdka. Smarter Coffee Maker przy pierwszym podłączeniu od razu zachowuje się niczym punkt dostępu Wi-Fi, który na dodatek wykorzystuje niezabezpieczone połączenie, aby połączyć się z mobilną aplikacją producenta (która służy do konfiguracji ekspresu). Aktualizacje firmware'u odbywały się również za pomocą tej aplikacji. Tym samym, przy braku szyfrowania i autoryzacji ze strony telefonu, cały ten wyżej opisany chaos można było wywołać z zewnątrz. Hron postanowił rozmontować urządzenie, aby ustalić, jaki dokładnie układy był umieszczony w środku, a następnie opracował specjalny malware napisany w pythonie. Badacz firmy Avast postanowił stworzyć żądanie okupu połączone z wyżej opisanymi psikusami ekspresu. Aby wywołać atak wystarczyło znajdować się w zasięgu Wi-Fi, a jeśli urządzenie nie było skonfigurowane, wystarczyło odnaleźć SSID, które emitował Smarter Coffee Maker. Warto odnotować, że po takim "włamie" właściciel ekspresu nie może dokonywać aktualizacji swojego urządzenia i pozostanie już na zawsze podatny na dalsze ataki. Tego typu manipulacja nie jest jeszcze realnym problemem, którego trzeba się obawiać. Jednakże autor eksperymentu chciał zgłębić, jakie możliwości dają drobne sprzęty gospodarstwa domowego. Oprogramowanie Bezpieczeństwo SmartDom Udostępnij: © dobreprogramy Zgłoś błąd w publikacji