iKettle – это чайник с поддержкой WiFi, который, очевидно, поставляется с огромным, зияющим дефектом безопасности, который потенциально может взорвать целые сети WiFi
Когда речь заходит о технологии ‘умного дома’, нет недостатка в продуктах, смысл существования которых, мягко говоря, сомнителен. Фактически, я написал целую статью о них в апреле этого года. Одним из устройств, о которых я упоминал, был чайник iKettle от компании Smarter Labs
iKettle – это чайник с поддержкой WiFi. Да, вы правильно прочитали. Видимо, задача нагрева воды до температуры кипения – это то, что может быть выполнено только с помощью интеграции WiFi
О, а я уже упоминал, что он поставлялся с огромным, зияющим дефектом безопасности, который мог взорвать целые сети WiFi?
Как работала атака
Да, оказывается, iKettle не слишком горяч (простите), когда дело доходит до безопасности. Всего за пару шагов можно убедить его выдать пароль WiFi пользователя. Итак, как взломать чайник?
Во-первых, злоумышленнику необходимо найти беспроводную сеть с подключенным чайником iKettle. Затем нужно создать собственную беспроводную сеть, используя тот же SSID
Когда iKettle переключается на эту сеть, злоумышленник может подключиться к нему через порт 23 с помощью Telnet. Это свободно распространяемый инструмент, который похож на SSH и позволяет пользователям удаленно управлять компьютерами
После этого iKettle предложит злоумышленнику ввести шестизначный код. Его можно взломать, но если чайник был установлен на устройстве Android, то пароль по умолчанию будет 000000. После аутентификации злоумышленник попросит чайник перечислить свои настройки. В этот момент он выплюнет весь кэшированный пароль WiFi открытым текстом, что позволит злоумышленнику получить доступ ко всей сети
Проблема управления
Представитель Smarter Labs охотно подчеркнул, что решение этой проблемы не за горами
‘Мы очень серьезно относимся к безопасности в компании Smarter и работаем с нашими инженерами над тем, чтобы наши новые продукты не сталкивались с проблемами безопасности. Мы обновим затронутый продукт в ноябре, чтобы устранить эту проблему’
Они также подчеркнули, что на готовящийся к выпуску чайник iKettle это не повлияет:
‘Наш новый продукт и приложение имеют обновленные функции безопасности, которые не имеют отношения к уязвимости ‘
Пользователи чайников с уязвимостью могут обновить их с помощью приложения iKettle, доступного для iPhone и Android. Тем временем, возможно, имеет смысл подключить к домашней сети второй маршрутизатор с другим SSID и подключить к нему чайник. На Amazon можно найти вполне подходящий маршрутизатор всего за 10 долларов
Этот выпуск напоминает нам о том, что используемые нами устройства ‘умного дома’ по сути являются компьютерами и что они сталкиваются с теми же проблемами безопасности, что и традиционные компьютеры. Невероятно представить, что кто-то использует Telnet для подключения к чайнику, но, похоже, это реальность
По мере того, как сфера ‘умного дома’ неизбежно будет развиваться, производители будут все чаще задумываться о безопасности своих устройств. И когда что-то пойдет не так (а это неизбежно), они могут рассчитывать на то, что их будут держать за ноги над углями
Производителям придется разрабатывать свои продукты так, чтобы их было легко перезагружать и обновлять. Они должны будут применять проактивный подход к безопасности своих устройств и сотрудничать с исследователями безопасности. Им придется научиться управлять раскрытием информации и своими отношениями с сообществом безопасности, что некоторые из них считают невероятно сложной задачей
Производителям придется подумать о том, как обеспечить безопасность своих устройств в случае их краха. Что еще более важно, им придется прийти к консенсусу со своими клиентами относительно того, как долго они должны будут обслуживать конкретный продукт
Незапланированное устаревание
У моего друга есть микроволновая печь, которая буквально древняя. Это звучит как гипербола, но это не так. Она досталась ему в наследство от родителей, которые, в свою очередь, купили ее в ныне несуществующем гипермаркете в 1980-х годах. Позвольте мне выразить это в контексте: его микроволновка старше меня
Но вот в чем дело: это вполне адекватная микроволновка. Спустя почти тридцать лет он все еще может превратить замороженную готовую лазанью в парную лужу расплавленного сыра и по-прежнему легко размораживает замороженное мясо. Нет буквально никаких причин для ее замены
В этом и заключается особенность традиционной бытовой техники. Они не подвержены такому циклу запланированного устаревания, как большинство технологий. Не существует такого понятия, как ‘цикл обновления холодильника’. В мире бытовой техники нет такого понятия, как ‘двухлетнее обновление’
Еще один момент: микроволновая печь моего друга была произведена в стране, которой больше не существует (Германская Демократическая Республика, также известная как Восточная Германия), компанией, которая также прекратила свое существование. Но это не помешало ему приготовить сырные начос в микроволновке спустя тридцать лет
Совсем другое дело – техника для умного дома. Вполне вероятно, что ваш компьютеризированный чайник или зонтик с поддержкой WiFi потребуют периодического обновления производительности и безопасности
Проблема в том, что программисты стоят дорого, и ожидать, что компании, производящие программное обеспечение, будут поддерживать свои продукты бесконечно долго, просто нереально. В конце концов, они должны отпустить его, как это сделала Microsoft с Windows XP в начале 2014 года
Кроме того, есть еще один маленький вопрос: технологические компании имеют тенденцию в конечном итоге взрываться, как Звезда Смерти, оставляя после себя горы рекламных наклеек для ноутбуков и неподдерживаемого кода. Приведу лишь три (из многих) примера: Silicon Graphics, Palm и Commodore
Если вы покупаете продукт, который по своей природе требует много управления, чтобы обеспечить его безопасность и бесперебойную работу, вы рискуете тем, что компания будет поддерживать его. Это не всегда безопасная ставка
Защита Интернета вещей
В настоящее время Интернет вещей – это зарождающаяся идея, еще наполовину сформировавшаяся. Это все еще эксперимент, на десятки вопросов еще нет ответов
Должны ли производители нести ответственность за безопасность продаваемых ими продуктов? Если да, то в какой степени?
Следует ли компании обоснованно ожидать поддержки продукта IoT или ‘умного дома’? Если да, то как долго?
Что произойдет, если производитель потерпит неудачу? Многие стартапы пообещали опубликовать свой код в открытом доступе, если они потерпят неудачу. Следует ли обязать производителей ‘умных домов’ сделать то же самое?
Могут ли потребители сделать что-нибудь для обеспечения безопасности своего оборудования? Если да, то что?
Ответы на эти вопросы будут получены со временем. Но пока они не получены, я подозреваю, что большинство потребителей будут сдержанно относиться к миру Интернета вещей
А что думаете вы? Оставьте мне комментарий ниже, и мы пообщаемся
Комментировать