Wenn Sie eine IoT-kompatible Kaffeemaschine haben, möchten Sie möglicherweise nicht, dass ein Hacker sie in die Hände bekommt. Ein Experte wie Martin Hron, Forscher bei der Sicherheitsfirma Avast kann alle Arten von Tricks ausführen wie bei einem Smarter 250 USD Maschine.
"Es ist möglich", Hro n sagte in einem Interview mit Ars Technica . “Es wurde getan, um darauf hinzuweisen, dass dies geschehen ist und anderen passieren könnte IoT-Geräte . Dies ist ein gutes Beispiel für ein sofort einsatzbereites Problem. Sie müssen nichts konfigurieren. Normalerweise die Anbieter denken nicht darüber nach . ”
Als Hron mit der Kaffeemaschine spielte, stellte er fest, dass sowohl die Befehle als auch die Firmware-Updates ohne Verschlüsselung, ohne Authentifizierung und ohne Codesignatur empfangen wurden. Mit der ersten konnte er nicht viel Schaden anrichten, da es nur begrenzte Befehle gab, aber mit derzweitens, Junge, könnte er eine Show machen!
Um dies zu tun, musste er zuerst herausfinden, welche CPU die Kaffeemaschine verwendet. Also nahm er die Einbauten des Geräts auseinander, entdeckte die Leiterplatte und identifizierte die Chips. Hron konnte sich dann mit den wichtigsten Funktionen der Maschine herumschlagen und sich in ein Gerät verwandeln, das ein Lösegeld forderte, um eine Fehlfunktion zu stoppen.
Die einzige Möglichkeit, das Gerät anzuhalten, bestand darin, den Netzstecker zu ziehen. Sie fragen sich vielleicht, warum Hron sich für dieses Experiment entschieden hat. Er erklärt es recht anmutig auf seinem Blog .
"Einige Nachforschungen machen so viel Spaß, dass sie bestätigen, warum ich diese Arbeit mache. Ich wurde gebeten, einen Mythos zu beweisen, es als Verdacht zu bezeichnen, dass die Bedrohung für IoT-Geräte nicht nur darin besteht, über einen schwachen Router auf sie zuzugreifen oder dem Computer ausgesetzt zu seinInternet, aber das an IoT-Gerät selbst ist anfällig und kann leicht besessen werden, ohne das Netzwerk oder den Router zu besitzen. Ich wette auch, dass ich diese Bedrohung bestehen lassen und eine echte Gefahr für jeden Benutzer darstellen könnte. "