| Автор |
Сообщение |
Михаил ®
Стаж: 13 лет 3 мес.
Сообщений: 21356
Ratio: 22.972
100%
|
Специалисты ИБ-компании Avast доказали возможность взлома любых гаджетов интернета вещей. Они смогли менее чем за минуту подменить прошивку умной кофемашины, которая умеет подключаться по Wi-Fi к системе умного дома и научить ее не только майнить криптовалюту, но и требовать с владельца выкуп за возвращение привычных функций.
Взломать всё
Все устройства интернета вещей, в том числе гаджеты умного дома, потенциально уязвимы ко взлому, даже если не подключены к интернету. Это наглядно продемонстрировал ИБ-специалист Мартин Хрон (Martin Hron) из компании Avast, специализирующейся на разработке антивирусных решений.
Как пишет сетевое издание ArsTechnica, Хрон за несколько секунд взломал умную кофемашину Smarter iKettle, способную подключаться к системе умного дома по беспроводной сети. Он сумел получить полный доступ к ее прошивке и реализовать в ней опасные функции, изначально не предусмотренные.
Эксперимент над кофеваркой, оказавшейся в итоге не такой уж и умной, Хрон проводил с целью доказать опасность IoT-устройств, которую они несут для своих владельцев.
Главной уязвимостью таких гаджетов Хрон назвал то, как именно осуществляется управление их аппаратными функциями – через прошивку. По его словам, если есть прошивка, значит, производитель мог не закрыть лазейки для несанкционированного доступа к ней, что Хрон и обнаружил в Smarter iKettle.
Кофемашина в заложниках
Мартин Хрон выяснил, что в Smarter iKettle есть как минимум две уязвимости – это никак не защищенная прошивка, а также алгоритм подключения к умному дому. После первого включения кофемашина создает собственную сеть Wi-Fi для первичной настройки, и она не защищена никаким паролем, что позволяет злоумышленникам, находящимся поблизости, подключиться к ней. Кроме того, пользователь может оставить сеть незапароленной, открыв к ней круглосуточный доступ.
Хрон вместе с небольшой группой единомышленников, воспользовавшись программными недочетами кофемашины, скопировали файл с его прошивкой всего за несколько секунд, после чего модифицировали его и закачали обратно в память устройства. Машина не заметила подмены, но корректно работать все-таки перестала.
Вместо того, чтобы начать варить кофе, она стала выводить на экран смайлика в виде чертенка и требовать выкуп. Другими словами, если бы Smarter iKettle стоящую на кухне у ничего не подозревающего владельца, взломал не сотрудник ИБ-компании, а простой хакер, ему пришлось бы заплатить ему энную сумму денег за возможность выпить тонизирующий напиток.
Кухонный майнер
По словам Мартина Хрона, взлом умных устройств может преследовать различные цели. На примере все той же Smarter iKettle он показал, что даже устройство с совершенно конкретным предназначением (например, превращать зерна кофейного дерева в напиток) можно заставить выполнять совершенно иные действия, притом незаметные для владельца.
Хрон заявил, что мог «научить» Smarter iKettle майнить криптовалюту, то есть использовать предмет кухонной утвари, стоящей в доме у совершенно незнакомого человека, для своего обогащения. При этом кофемашина потребляла бы небесплатную электроэнергию, а в ряде стран, где государство не позволяет гражданам зарабатывать на криптовалюте, подобный взлом мог бы привести к проблемам с законом.
В итоге Хрон все же отказался от идеи по превращению кофемашины в многофункциональную криптоферму. Причиной тому послужила лишь слабая аппаратная часть устройства, не позволяющая добывать виртуальные деньги с достаточной скоростью.
Дело не только в кофеварках
Взломать можно действительно любое умное устройство, приобретаемое для использования дома или в офисах. Например, в октябре 2019 г. ИТ-специалист Анна Просветова из Санкт-Петербурга опубликовала в своем Telegram-канале «Мена заставили создать канал» (@theyforcedme) информацию о том, как случайно взломала все автоматические кормушки для животных Xiaomi Furrytail Pet Smart Feeder
«Мда. Вот эти автоматические кормушки продаются по пять тысяч рублей минимум. Добротный девайс, надо сказать. Работает хорошо. Сейчас я продолжала изучать их API и случайно получила доступ ко всем кормушкам этой модели в мире. У меня на экране бегают логи со всех существующих кормушек, я вижу данные о вайфай-сетях бедных китайцев, которые купили себе эти устройства. Могу парой кликов неожиданно накормить всех котиков и собачек, а могу наоборот лишить их еды, удалив расписания с устройств. Вижу, сколько у кого в миске корма сейчас лежит».
Позже Анна Просветова добавила, что число таких кормушек, подключенных к Сети, перевалило за 6500. «И еще кое-что. Там в кормушке стоит ESP8266. На кормушку можно удаленно послать запрос с ссылкой на прошивку, контроллер скачает ее, установит и перезагрузится. В теории можно заставить эти 7000 кормушек обновиться на прошивку-пустышку, после чего устройство умрет полностью и единственным способом починки будет полный разбор, подпайка к пинам контроллера и ручная заливка прошивки. Скажите это котикам и собачкам, которые сейчас дома питаются из этой штуки и ждут своих хозяев из двухнедельных отпусков. Или DDoS-ботнет. Это просто отвратительно, представить даже страшно», – добавила она.
В январе 2020 г. CNews рассказывал о том, как миллионы домашних камер оказались беззащитны для взлома с устройств под iOS и Android. В течение трех недель база данных, содержавшая информацию о клиентах производителя устройств интернета вещей Wyze Labs, оставалась общедоступной. Речь шла о неправильно настроенной базе данных Elasticsearch.
База оказалась в открытом доступе 4 декабря 2019 г. и оставалась в нем вплоть до 26 декабря 2019 г. Подобная халатность могла привести к компрометации данных 2,4 млн клиентов. При этом Wyze Labs – это не компания-однодневка, а известный во всем мире производитель смарт-устройств.Источник |
|
|
 |
savinap
Стаж: 13 лет 9 мес.
Сообщений: 349
Ratio: 11.772
Раздал: 6.622 TB
Поблагодарили: 8
20.76%
|
|
|
|
Moonrise
Uploader 500+
Стаж: 11 лет 4 мес.
Сообщений: 415
Ratio: 1322.827
Раздал: 778.6 TB
85.61%
|
Red-White 77 писал(а):  | Кто-нибудь может аргументированно объяснить, зачем кухонной утвари подключение к интернету?  Эта техника должна, условно говоря, печь булки из теста, а не наживать хозяину проблем на булки из мяса. |
Кухонной утвари не нужно подключение к интернету, потому что его и нет. Читаем: | Цитата: | После первого включения кофемашина создает собственную сеть Wi-Fi для первичной настройки, и она не защищена никаким паролем, что позволяет злоумышленникам, находящимся поблизости, подключиться к ней. Кроме того, пользователь может оставить сеть незапароленной, открыв к ней круглосуточный доступ. |
То есть чтобы взломать эту кофемолку, надо не только находиться поблизости, но и поймать момент, когда будет осуществляться первичная настройка и сеть будет незапаролена. С таким же успехом можно "взломать" и соседский роутер, например, в тот момент, когда сосед его только что купил и ещё настраивает, а следовательно, не успел установить пароли на админку и Wi-Fi.  |
|
|
|
|
v9o4v9a1n
Только чтение
Стаж: 12 лет 10 мес.
Сообщений: 1163
Ratio: 1.718
100%
|
|
_________________
В дискуссии не вступаю, на вопросы не отвечаю.
|
|
|
|
Михаил ®
Стаж: 13 лет 3 мес.
Сообщений: 21356
Ratio: 22.972
100%
|
| v9o4v9a1n писал(а): | с wifi но без кнопок |
кнопка нужна чтобы включить вайфай вообще -то это всё должно быть ещё со встроенными намертво зашитыми литиевыми аккумуляторами чтобы совсем обезобразить дохлостью конструкции и без того идиотские усугубить |
|
|
|
|
mellon37
Только чтение
Стаж: 11 лет 11 мес.
Сообщений: 288
Ratio: 23.381
100%
Откуда: дровишки?
|
Я не пользуюсь мобильным инетом )) А на нетбуке на Рунти всепод таким контролем, что жена не может поймать меня забывшего отключить юзера ужеололо сколько лет |
|
|
|
|
Max_Alekseyev
Только чтение
Стаж: 13 лет 1 мес.
Сообщений: 17339
Ratio: 31.839
Раздал: 165.7 TB
Поблагодарили: 2849
100%
Откуда: Kharkіv, UA
|
| mellon37 писал(а): | что жена не может поймать меня забывшего отключить юзера ужеололо сколько лет |
Какие интересные у вас ролевые игры  |
|
|
|
|
Михаил ®
Стаж: 13 лет 3 мес.
Сообщений: 21356
Ratio: 22.972
100%
|
ладно я спать а то уже полдесятого - пора ) |
|
|
|
|
Infectant
Стаж: 10 лет 10 мес.
Сообщений: 439
Ratio: 314.866
Раздал: 3.959 TB
Поблагодарили: 4613
100%
Откуда: Невьянск
|
Полезная новость. Я как раз такую кофеварку в нескольких городах поставил. Теперь мне страшно.  |
_________________
|
|
|
|
Casablanka
Стаж: 11 лет 3 мес.
Сообщений: 1187
Ratio: 5.027
Поблагодарили: 16
31.99%
|
| mmsh. писал(а): | | Red-White 77 писал(а): | Кто-нибудь может аргументированно объяснить, зачем кухонной утвари подключение к интернету? |
попробую доморощенно объяснить нынче правдами и неправдами необходимо движение капитала и оправдание капиталовложений во всё что ни лень и ни попадя. |
Если посмотреть ещё глубже — это неустранимое противоречие товарного обращения. Когда продажа и покупка товаров не совпадают во времени, то возникают нереализованные товары. В рыночной (то есть, хаотичной) экономике это приводит к кризисам перепроизводства. Чтобы продавать невостребованные товары, был придуман маркетинг. Основной закон маркетинга: создавайте потребности. У вас ещё нет «умной кофеварки»? А у соседа есть. Значит, и вам нужна — чтобы не отставать. Но интернет вещей — действительно полезная технология: 1) Умный автомобиль. Если он поломался в дороге, сообщил в сервис о проблеме, быстро привезли нужную деталь. 2) Умный город. Датчики в мусорных баках сообщают о наполнении в коммунальную службу. Удобнее планировать маршрут мусоровозов. 3) Умное производство. Датчики на конвейре следят, где находится деталь, попала ли она в нужное место или нет. |
|
|
|
|
alex12nnm
Только чтение
Стаж: 11 лет 8 мес.
Сообщений: 1875
Ratio: 0.548
100%
|
То-то меня чайник утром сегодня послал. А оно вон оказывается чё. |
|
|
|
|
psycrow17
Стаж: 13 лет 10 мес.
Сообщений: 943
Ratio: 1.81
Поблагодарили: 22
6.1%
|
| Casablanka писал(а): | | mmsh. писал(а): | | Red-White 77 писал(а): | Кто-нибудь может аргументированно объяснить, зачем кухонной утвари подключение к интернету? |
попробую доморощенно объяснить нынче правдами и неправдами необходимо движение капитала и оправдание капиталовложений во всё что ни лень и ни попадя. |
Если посмотреть ещё глубже — это неустранимое противоречие товарного обращения. Когда продажа и покупка товаров не совпадают во времени, то возникают нереализованные товары. В рыночной (то есть, хаотичной) экономике это приводит к кризисам перепроизводства. Чтобы продавать никому не нужные товары, был придуман маркетинг. Основной закон маркетинга: создавайте потребности. У вас ещё нет «умной кофеварки»? А у соседа есть. Значит, и вам нужна — чтобы не отставать. Но интернет вещей — действительно полезная технология: 1) Умный автомобиль. Если он поломался в дороге, сообщил в сервис о проблеме, быстро привезли нужную деталь. 2) Умный город. Датчики в мусорных баках сообщают о наполнении в коммунальную службу. Удобнее планировать маршрут мусоровозов. 3) Умное производство. Датчики на конвейре следят, где находится деталь, попала ли она в нужное место или нет. |
В данном случае это халатность производителя к безопасности .Достаточно обязать производителей выпускать патчи безопасности в течении определенного срока, возможно когда-нибудь к этому придут. Былоб в этой вундервафле хотябы WPA2 шифрования(я уже молчу про WPA3), то это уже снизило бы значительно риск. Т.к. охота идёт в первую очередь за более уязвимыми. |
|
|
|
|
kmk
Стаж: 16 лет 5 мес.
Сообщений: 2196
Ratio: 15.301
Поблагодарили: 18682
100%
|
| mmsh. писал(а): | Специалисты ИБ-компании Avast доказали возможность взлома любых гаджетов интернета вещей. |
Даешь антивирусник для кофеварок от компании Avast! | mmsh. писал(а): | Хрон за несколько секунд взломал умную кофемашину Smarter iKettle, способную подключаться к системе умного дома по беспроводной сети. Он сумел получить полный доступ к ее прошивке и реализовать в ней опасные функции, изначально не предусмотренные. |
| mmsh. писал(а): | Хрон вместе с небольшой группой единомышленников, воспользовавшись программными недочетами кофемашины, скопировали файл с его прошивкой всего за несколько секунд, после чего модифицировали его и закачали обратно в память устройства. |
Ну да, ну да... За секунды подключился, слил прошивку, расшифровал, дизассемблировал ее, разобрался и подумал, внес изменения, протестировал (видимо в уме за долю секунды), и зашил измененную прошивку назад. Брех чистой воды... Залить готовую взломанную прошивку, действительно можно за секунды, но не проделать то, что я описал выше в качестве сарказма. Статью писал безумец: | mmsh. писал(а): | Все устройства интернета вещей, в том числе гаджеты умного дома, потенциально уязвимы ко взлому, даже если не подключены к интернету. |
| mmsh. писал(а): | Хрон заявил, что мог «научить» Smarter iKettle майнить криптовалюту, то есть использовать предмет кухонной утвари, стоящей в доме у совершенно незнакомого человека, для своего обогащения. |
Ну да, ну да... Майнит криптовалюту без интернета... Пугалка для легковерных домохозяек. |
|
|
|
|
graytiger
Стаж: 11 лет 2 мес.
Сообщений: 723
Ratio: 2.649
0.43%
|
с любителей таких вот глупостев, т.е образцовых потребителей, послушных свистку хозяина, можно разводить. Они сами о этом мечтают. Потом будут взахлеб рассказывать, как его кофеварка его заставила деньги платить. Еще и сериал выйдет для таких недоумпоу, пост-кофе-апокапсюлюсь. И книги миллионными тиражами будут. И ток шоу будут, детские игры для малолетних образцовых потребителей |
|
|
|
|
nati-3535
Стаж: 12 лет 4 мес.
Сообщений: 1397
Ratio: 3.233
47.64%
Откуда: ЦАРСТВО НЕБЕСНОЕ
|
Вот поэтому я надеюсь на свой ум а не на умные вещи.. |
|
|
|
|
mixa1890
Стаж: 11 лет 11 мес.
Сообщений: 671
Ratio: 18.311
Раздал: 3.896 TB
6.7%
|
....только старая добрая механика, а не все это так называемое умное барахло , которое стучит на хозяев , за каждый чих... |
|
|
|
|
|
|
|
