| Автор |
Сообщение |
Михаил ®
Стаж: 14 лет 11 мес.
Сообщений: 21356
Ratio: 22.972
100%
|
Специалисты ИБ-компании Avast доказали возможность взлома любых гаджетов интернета вещей. Они смогли менее чем за минуту подменить прошивку умной кофемашины, которая умеет подключаться по Wi-Fi к системе умного дома и научить ее не только майнить криптовалюту, но и требовать с владельца выкуп за возвращение привычных функций.
Взломать всё
Все устройства интернета вещей, в том числе гаджеты умного дома, потенциально уязвимы ко взлому, даже если не подключены к интернету. Это наглядно продемонстрировал ИБ-специалист Мартин Хрон (Martin Hron) из компании Avast, специализирующейся на разработке антивирусных решений.
Как пишет сетевое издание ArsTechnica, Хрон за несколько секунд взломал умную кофемашину Smarter iKettle, способную подключаться к системе умного дома по беспроводной сети. Он сумел получить полный доступ к ее прошивке и реализовать в ней опасные функции, изначально не предусмотренные.
Эксперимент над кофеваркой, оказавшейся в итоге не такой уж и умной, Хрон проводил с целью доказать опасность IoT-устройств, которую они несут для своих владельцев.
Главной уязвимостью таких гаджетов Хрон назвал то, как именно осуществляется управление их аппаратными функциями – через прошивку. По его словам, если есть прошивка, значит, производитель мог не закрыть лазейки для несанкционированного доступа к ней, что Хрон и обнаружил в Smarter iKettle.
Кофемашина в заложниках
Мартин Хрон выяснил, что в Smarter iKettle есть как минимум две уязвимости – это никак не защищенная прошивка, а также алгоритм подключения к умному дому. После первого включения кофемашина создает собственную сеть Wi-Fi для первичной настройки, и она не защищена никаким паролем, что позволяет злоумышленникам, находящимся поблизости, подключиться к ней. Кроме того, пользователь может оставить сеть незапароленной, открыв к ней круглосуточный доступ.
Хрон вместе с небольшой группой единомышленников, воспользовавшись программными недочетами кофемашины, скопировали файл с его прошивкой всего за несколько секунд, после чего модифицировали его и закачали обратно в память устройства. Машина не заметила подмены, но корректно работать все-таки перестала.
Вместо того, чтобы начать варить кофе, она стала выводить на экран смайлика в виде чертенка и требовать выкуп. Другими словами, если бы Smarter iKettle стоящую на кухне у ничего не подозревающего владельца, взломал не сотрудник ИБ-компании, а простой хакер, ему пришлось бы заплатить ему энную сумму денег за возможность выпить тонизирующий напиток.
Кухонный майнер
По словам Мартина Хрона, взлом умных устройств может преследовать различные цели. На примере все той же Smarter iKettle он показал, что даже устройство с совершенно конкретным предназначением (например, превращать зерна кофейного дерева в напиток) можно заставить выполнять совершенно иные действия, притом незаметные для владельца.
Хрон заявил, что мог «научить» Smarter iKettle майнить криптовалюту, то есть использовать предмет кухонной утвари, стоящей в доме у совершенно незнакомого человека, для своего обогащения. При этом кофемашина потребляла бы небесплатную электроэнергию, а в ряде стран, где государство не позволяет гражданам зарабатывать на криптовалюте, подобный взлом мог бы привести к проблемам с законом.
В итоге Хрон все же отказался от идеи по превращению кофемашины в многофункциональную криптоферму. Причиной тому послужила лишь слабая аппаратная часть устройства, не позволяющая добывать виртуальные деньги с достаточной скоростью.
Дело не только в кофеварках
Взломать можно действительно любое умное устройство, приобретаемое для использования дома или в офисах. Например, в октябре 2019 г. ИТ-специалист Анна Просветова из Санкт-Петербурга опубликовала в своем Telegram-канале «Мена заставили создать канал» (@theyforcedme) информацию о том, как случайно взломала все автоматические кормушки для животных Xiaomi Furrytail Pet Smart Feeder
«Мда. Вот эти автоматические кормушки продаются по пять тысяч рублей минимум. Добротный девайс, надо сказать. Работает хорошо. Сейчас я продолжала изучать их API и случайно получила доступ ко всем кормушкам этой модели в мире. У меня на экране бегают логи со всех существующих кормушек, я вижу данные о вайфай-сетях бедных китайцев, которые купили себе эти устройства. Могу парой кликов неожиданно накормить всех котиков и собачек, а могу наоборот лишить их еды, удалив расписания с устройств. Вижу, сколько у кого в миске корма сейчас лежит».
Позже Анна Просветова добавила, что число таких кормушек, подключенных к Сети, перевалило за 6500. «И еще кое-что. Там в кормушке стоит ESP8266. На кормушку можно удаленно послать запрос с ссылкой на прошивку, контроллер скачает ее, установит и перезагрузится. В теории можно заставить эти 7000 кормушек обновиться на прошивку-пустышку, после чего устройство умрет полностью и единственным способом починки будет полный разбор, подпайка к пинам контроллера и ручная заливка прошивки. Скажите это котикам и собачкам, которые сейчас дома питаются из этой штуки и ждут своих хозяев из двухнедельных отпусков. Или DDoS-ботнет. Это просто отвратительно, представить даже страшно», – добавила она.
В январе 2020 г. CNews рассказывал о том, как миллионы домашних камер оказались беззащитны для взлома с устройств под iOS и Android. В течение трех недель база данных, содержавшая информацию о клиентах производителя устройств интернета вещей Wyze Labs, оставалась общедоступной. Речь шла о неправильно настроенной базе данных Elasticsearch.
База оказалась в открытом доступе 4 декабря 2019 г. и оставалась в нем вплоть до 26 декабря 2019 г. Подобная халатность могла привести к компрометации данных 2,4 млн клиентов. При этом Wyze Labs – это не компания-однодневка, а известный во всем мире производитель смарт-устройств.Источник |
|
|
 |
SSSERIK
Стаж: 15 лет 1 мес.
Сообщений: 7
Ratio: 10.375
100%
|
Кто-нибудь может аргументированно объяснить, почему взломать можно всё, кроме защиты Denuvo? |
|
|
|
|
Eastoop
Сталкер
Экс-Куратор
Стаж: 16 лет 8 мес.
Сообщений: 30075
Ratio: 554.752
Поблагодарили: 273517
100%
|
SSSERIK писал(а):  | взломать можно всё, кроме защиты Denuvo? |
И Denuvo тоже уже давно ломается. |
|
|
|
|
ecelop
Стаж: 8 лет 9 мес.
Сообщений: 67
Ratio: 2.169
8.31%
|
| Red-White 77 писал(а): | Кто-нибудь может аргументированно объяснить, зачем кухонной утвари подключение к интернету?  Эта техника должна, условно говоря, печь булки из теста, а не наживать хозяину проблем на булки из мяса. |
наверно для удобства  |
|
|
|
|
Max_Alekseyev
Uploader 100+
Стаж: 14 лет 10 мес.
Сообщений: 17428
Ratio: 31.277
Раздал: 167.7 TB
Поблагодарили: 2871
100%
Откуда: Україна Місто-залізобетон
|
| kmk писал(а): | Пугалка для легковерных домохозяек. |
И правильно, пусть руками нормальный кофе мужикам варят, пусть боятся ) Добавлено спустя 3 минуты 32 секунды: | alex12nnm писал(а): | То-то меня чайник утром сегодня послал. А оно вон оказывается чё. |
Позвоните с саппорт, скажите, что пинг просел, пакеты теряются, чай заварить не можете  |
|
|
|
|
Eastoop
Сталкер
Экс-Куратор
Стаж: 16 лет 8 мес.
Сообщений: 30075
Ratio: 554.752
Поблагодарили: 273517
100%
|
Max_Alekseyev
А что делать со старым советским пылесосом Чайка 3М. Он,сволочь, дуть стал в обратную сторону. |
|
|
|
|
PrimusAsus
Стаж: 9 лет 6 мес.
Сообщений: 1263
Ratio: 7.586
100%
|
Почему вас волнует такая ерунда, и совсем не беспокоит то, что вся российская система автоматического распределения электроэнергии базируется на американском ПО? Кому то надо объяснять, что это значит? 😢 |
|
|
|
|
Eastoop
Сталкер
Экс-Куратор
Стаж: 16 лет 8 мес.
Сообщений: 30075
Ratio: 554.752
Поблагодарили: 273517
100%
|
PrimusAsus
Вы уверены в том, что написали? Знаете абсолютно точно? Или опять вброс каловых масс на вентилятор? |
|
|
|
|
StartBusinessPro
Стаж: 7 лет 1 мес.
Сообщений: 450
Ratio: 2.825
0.09%
|
Хорошо, что бабские вибраторы не умеют подключаться по Wi-Fi ...
А то такое бы началось!!! |
|
|
|
|
blek2014
Стаж: 10 лет 7 мес.
Сообщений: 641
Ratio: 5.999
5.89%
Откуда: 404
|
| Eastoop писал(а): | Max_Alekseyev
А что делать со старым советским пылесосом Чайка 3М. Он,сволочь, дуть стал в обратную сторону. |
шланг блин с другой стороны поставить !!! |
|
|
|
|
LORDNEC
Стаж: 14 лет 10 мес.
Сообщений: 247
Ratio: 44.45
Раздал: 3.504 TB
27.95%
|
mmsh. ®,а вот это прикольная новость! Спасибо,пойду расскажу за обедом.  Добавлено спустя 4 минуты 9 секунд: | Red-White 77 писал(а): | Кто-нибудь может аргументированно объяснить, зачем кухонной утвари подключение к интернету? Эта техника должна, условно говоря, печь булки из теста, а не наживать хозяину проблем на булки из мяса. |
Может,есть заведения общепита с ними или ты ...без понятия относительно кофеварки. |
_________________
Всеобщая декларация прав человека, статья 19:
"Каждый человек имеет право на свободу убеждений и на свободное выражение их; это право включает свободу беспрепятственно придерживаться своих убеждений и свободу искать, получать и распространять информацию и идеи любыми средствами и независимо от государственных границ."
|
|
|
|
kalt12
Uploader 100+
Стаж: 13 лет 2 мес.
Сообщений: 8068
Ratio: 202.113
100%
|
... ... |
|
|
|
|
aiwalev
Стаж: 13 лет 11 мес.
Сообщений: 10684
Ratio: 4026.728
38.65%
|
| Red-White 77 писал(а): | Кто-нибудь может аргументированно объяснить, зачем кухонной утвари подключение к интернету? |
Ну как бы не всей кухонной утвари нужно подключение, а только лишь утвари класса "умный дом". Это пожелание не производителя кухонной утвари, а ее покупателя. |
|
|
|
|
Max_Alekseyev
Uploader 100+
Стаж: 14 лет 10 мес.
Сообщений: 17428
Ratio: 31.277
Раздал: 167.7 TB
Поблагодарили: 2871
100%
Откуда: Україна Місто-залізобетон
|
| Eastoop писал(а): | А что делать со старым советским пылесосом Чайка 3М. Он,сволочь, дуть стал в обратную сторону. |
Перекинуть шланг на другую сторону Добавлено спустя 1 минуту 2 секунды: | blek2014 писал(а): | шланг блин с другой стороны поставить !!! |
Не увидел ) |
|
|
|
|
aiwalev
Стаж: 13 лет 11 мес.
Сообщений: 10684
Ratio: 4026.728
38.65%
|
| psycrow17 писал(а): |
Былоб в этой вундервафле хотябы WPA2 шифрования(я уже молчу про WPA3), то это уже снизило бы значительно риск. Т.к. охота идёт в первую очередь за более уязвимыми.
|
А почему Вы решили, что в этой вундервафле нет шифрования? А не покупатель пропустил всю эту лишнюю для него возню, оставив все на автомате? |
|
|
|
|
KOTT2T
Стаж: 13 лет 2 мес.
Сообщений: 248
Ratio: 4.57
100%
|
опа ! А у нас не Умная ! можно даже сказать ДУРНАЯ /придуренная/ варит что хочет , кому хочет и ничем её не ублажишь -ни пинками ни матами... ни добрыми словами ..так что если её к нету подключить то по почте посылать будет наверно ! /или войнушку устроит/
|
|
|
|
|
|
|
|
