Miele nie umie podłączać się do Internetu, ignoruje błąd w zmywarce
Jeśli ktoś nie umie się łączyć z Internetem, lepiej żeby tego nie robił. Miele niestety nie umie. Cieszący się niezłą opinią producent AGD wypuścił na rynek połączoną z Internetem zmywarkę, z błędem pozwalającym na przeglądanie plików przez HTTP.
Zmywarka ma własny serwer HTTP, konkretnie PST10 WebServer, który przez niedostateczne zabezpieczenia pozwala na przeglądanie plików z zewnątrz (directory traversal bug), także systemowych. Można się na przykład dostać do pliku /etc/shadow, w którym zapisane są nazwy użytkowników, zaszyfrowane hasła i dodatkowe informacje, jak data ostatniej zmiany hasła i parametry polityki zmiany, jak dopuszczalny czas bez zmiany, termin ostrzeżenia o potrzebie zmiany i tym podobne. Mając w domowej czy firmowej sieci taką zmywarkę nie można czuć się bezpiecznie. Wystarczy Telnet, by się do niej dostać bez autoryzacji. W zgłoszeniu znajduje się przykład:
~$ telnet 192.168.0.1 80 GET /../../../../../../../../../../../../etc/shadow HTTP/1.1
Atakujący może uzyskać dostęp do wszystkich katalogów, a ponadto ma możliwość wstrzyknięcia własnego kodu i zlecić jego wykonanie serwerowi HTTP. W zasadzie z tego miejsca może zrobić już wszystko, łącznie z atakowaniem innych urządzeń w sieci lokalnej. Tymczasem firma Miele nigdy nie odpowiedziała na zgłoszenie.
Najgorsze jest jednak to, że producent ignoruje zgłoszenia błędu. Do firmy Miele wpłynęły oczywiście raporty z informacjami o błędzie. Zgłoszenie z listopada zostało już upublicznione, ale błąd nie został naprawiony. Ponieważ Miele to firma produkująca AGD, a nie IT, nie ma nawet odpowiedniego systemu zgłaszania błędów w oprogramowaniu, prawdopodobnie nie ma też ludzi odpowiedzialnych za utrzymanie oprogramowania i wydawanie aktualizacji, więc zmywarki zostaną podatne na ataki do końca swoich dni.
W przytoczonym zgłoszeniu chodzi o profesjonalną zmywarkę medyczną PG 8528, przeznaczoną do mycia i dezynfekcji narzędzi i obuwia operacyjnego. Takie urządzenie raczej nie będzie pracowało w czyimś domu, a w przychodni lub szpitalu, gdzie nie brak wrażliwych danych i łakomych kąsków dla hakerów. Nie wiadomo jakich bibliotek Miele używa w swoim oprogramowaniu i czy inne sprzęty odziedziczą lukę. Najlepiej na wszelki wypadek nie podłączać smartrzeczy do Internetu.
Nie tak miał wyglądać ten Internet Rzeczy, o którym marzyli producenci AGD. Pora przestać na siłę pakować WiFi do każdego urządzenia i dać sobie spokój z Internetem… chyba że producenta stać na porządny dział IT.