Przejdź na

Miele nie umie podłączać się do Internetu, ignoruje błąd w zmywarce

Jeśli ktoś nie umie się łączyć z Internetem, lepiej żeby tego nie robił. Miele niestety nie umie. Cieszący się niezłą opinią producent AGD wypuścił na rynek połączoną z Internetem zmywarkę, z błędem pozwalającym na przeglądanie plików przez HTTP.

Obraz
Anna Rymsza

Zmywarka ma własny serwer HTTP, konkretnie PST10 WebServer, który przez niedostateczne zabezpieczenia pozwala na przeglądanie plików z zewnątrz (directory traversal bug), także systemowych. Można się na przykład dostać do pliku /etc/shadow, w którym zapisane są nazwy użytkowników, zaszyfrowane hasła i dodatkowe informacje, jak data ostatniej zmiany hasła i parametry polityki zmiany, jak dopuszczalny czas bez zmiany, termin ostrzeżenia o potrzebie zmiany i tym podobne. Mając w domowej czy firmowej sieci taką zmywarkę nie można czuć się bezpiecznie. Wystarczy Telnet, by się do niej dostać bez autoryzacji. W zgłoszeniu znajduje się przykład:

~$ telnet 192.168.0.1 80 GET /../../../../../../../../../../../../etc/shadow HTTP/1.1

Atakujący może uzyskać dostęp do wszystkich katalogów, a ponadto ma możliwość wstrzyknięcia własnego kodu i zlecić jego wykonanie serwerowi HTTP. W zasadzie z tego miejsca może zrobić już wszystko, łącznie z atakowaniem innych urządzeń w sieci lokalnej. Tymczasem firma Miele nigdy nie odpowiedziała na zgłoszenie.

Najgorsze jest jednak to, że producent ignoruje zgłoszenia błędu. Do firmy Miele wpłynęły oczywiście raporty z informacjami o błędzie. Zgłoszenie z listopada zostało już upublicznione, ale błąd nie został naprawiony. Ponieważ Miele to firma produkująca AGD, a nie IT, nie ma nawet odpowiedniego systemu zgłaszania błędów w oprogramowaniu, prawdopodobnie nie ma też ludzi odpowiedzialnych za utrzymanie oprogramowania i wydawanie aktualizacji, więc zmywarki zostaną podatne na ataki do końca swoich dni.

W przytoczonym zgłoszeniu chodzi o profesjonalną zmywarkę medyczną PG 8528, przeznaczoną do mycia i dezynfekcji narzędzi i obuwia operacyjnego. Takie urządzenie raczej nie będzie pracowało w czyimś domu, a w przychodni lub szpitalu, gdzie nie brak wrażliwych danych i łakomych kąsków dla hakerów. Nie wiadomo jakich bibliotek Miele używa w swoim oprogramowaniu i czy inne sprzęty odziedziczą lukę. Najlepiej na wszelki wypadek nie podłączać smartrzeczy do Internetu.

Nie tak miał wyglądać ten Internet Rzeczy, o którym marzyli producenci AGD. Pora przestać na siłę pakować WiFi do każdego urządzenia i dać sobie spokój z Internetem… chyba że producenta stać na porządny dział IT.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Nowość w mObywatelu. Pobierz aktualizację
Nowość w mObywatelu. Pobierz aktualizację
WhatsApp testuje nowość. "Zajrzy" do wszystkich rozmów
WhatsApp testuje nowość. "Zajrzy" do wszystkich rozmów
Potężne narzędzie. ChatGPT wygeneruje jeszcze lepsze grafiki
Potężne narzędzie. ChatGPT wygeneruje jeszcze lepsze grafiki
Wiadomości od "kuriera DPD" i fałszywa prośba o dopłatę
Wiadomości od "kuriera DPD" i fałszywa prośba o dopłatę
200 tys. plików w darknecie. Wyciek z Uniwersytetu Warszawskiego niepokoi
200 tys. plików w darknecie. Wyciek z Uniwersytetu Warszawskiego niepokoi
Fala fałszywych e-maili. "Potwierdzenie zwrotu podatku"
Fala fałszywych e-maili. "Potwierdzenie zwrotu podatku"
Uważaj na takie połączenia. Nie są przypadkowe
Uważaj na takie połączenia. Nie są przypadkowe
BMW sięga po AI. Wykorzystają je przy bateriach
BMW sięga po AI. Wykorzystają je przy bateriach
Microsoft zmienił zdanie? Tłumaczy, kiedy warto zastąpić Defendera
Microsoft zmienił zdanie? Tłumaczy, kiedy warto zastąpić Defendera
Walka z botami. Tinder i Zoom wprowadzają skan tęczówki
Walka z botami. Tinder i Zoom wprowadzają skan tęczówki
Rusza WhatsApp Plus. Płatna wersja z dodatkowymi opcjami
Rusza WhatsApp Plus. Płatna wersja z dodatkowymi opcjami
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
ZANIM WYJDZIESZ... NIE PRZEGAP TEGO, CO CZYTAJĄ INNI! 👇