Με συνδεδεμένο στο Internet gadgets όλο και πιο συχνές, είναι σημαντικό να θυμόμαστε ότι είναι ακόμα σχετικά νέα, και, συνεπώς, δεν είναι τόσο ασφαλές όσο θα έπρεπε να είναι. Ελαττώματα θα πρέπει να ανακαλύψει και να επιδιορθωθεί πολλές φορές δεν χρειάζεται να ανησυχείτε για κάποιον που τους εκμεταλλεύεται για να σας βλάψει με κάποιο τρόπο.

Ransomware for smart thermostats and how it would work

Ένα καλό παράδειγμα αυτό που συνέβη πέρυσι, κατά τη διάρκεια του DEF CON διάσκεψη για την ασφάλεια. Δύο λευκό καπέλο χάκερ έδειξε πόσο έξυπνος θερμοστάτης θα μπορούσε να μετατραπεί σε εφιάλτη. Σε δύο ημέρες, κατάφεραν να μολύνει τη συσκευή με Ransomware. Και τα λύτρα που απαιτείται να καταβληθεί προκειμένου να αποκατασταθεί η λειτουργικότητα της συσκευής. Αυτό δεν είναι απαραίτητα κάτι που πρέπει να ανησυχείς, αλλά η πιθανότητα κάποιος να είναι σε θέση να επισκιάσουν σας στο Διαδίκτυο-συνδεδεμένη συσκευή εξακολουθεί να είναι μάλλον τρομακτικό. Οι δύο ερευνητές ασφαλείας που μπήκε το θερμοστάτη στην πραγματικότητα δεν ήθελε να βλάψει κανέναν, απλά ήθελα να δείξω πως κάποιες Διαδίκτυο των Πραγμάτων συσκευές δεν έχουν απλά τα μέτρα ασφάλειας που εφαρμόζονται.

«Πρόθεσή μας ήταν να επιστήσει την προσοχή στην κακή κατάσταση της ασφάλειας σε πολλές εγχώριες Πολλές συσκευές. Επίσης για να αυξηθεί η ευαισθητοποίηση στην ασφάλεια ερευνητική κοινότητα ότι δεν είναι όλα σχετικά με το λογισμικό hacking. Hardware hacking είναι συχνά πιο εύκολο διάνυσμα,» οι ερευνητές εξηγούν τους blog post.

Πώς λειτουργεί

Οι δύο ερευνητές, ο Andrew Tierney και ο Ken Munro, εκμεταλλεύτηκε μια ευπάθεια σε θερμοστάτη και έχουν μολυνθεί με Ransomware. Δεν θέλουν να αποκαλύψουν το οποίο εταιρείας θερμοστάτης κατάφεραν να το hack, επειδή εκείνη την εποχή, που ακόμη δεν είχε επικοινωνήσει με την εταιρεία με τα ευρήματά τους.

Τι το Ransomware θα κάνουμε είναι ότι θα κλειδώσετε τους χρήστες, έτσι ώστε δεν μπορεί να αλλάξει τίποτα, στη συνέχεια, αλλάξτε τη θερμότητα έως 99 βαθμούς και, τέλος, να ζητήσει έναν κωδικό PIN. Η ΚΑΡΦΊΤΣΑ θα αλλάζουν κάθε 30 δευτερόλεπτα, έτσι ώστε ο χρήστης θα έχει μια δύσκολη στιγμή να μαντέψουν. Το συγκεκριμένο Ransomware δημιουργήθηκε για να ρωτήσω για το 1 Bitcoin για να ξεκλειδώσετε τη συσκευή.

smart thermostats virus

«Έχουμε εντολή ένεση από την κάρτα SD, οπότε ήταν μια τοπική επίθεση. Με root, μπορείτε να ρυθμίσετε το συναγερμό (και ορίστε τη συχνότητα πολύ υψηλή) και τη θέρμανση και την ψύξη την ίδια στιγμή,» Tierney explained to Πληροφορίες Ασφαλείας Περιοδικό. Αυτό δεν σημαίνει ότι είναι αδύνατο να λειτουργήσει χωρίς φυσική πρόσβαση στη συσκευή. Ο θερμοστάτης που χρησιμοποιήθηκε ήταν εκτελεί μια έκδοση του Linux, είχε μια οθόνη LCD, και μια κάρτα SD. Η κάρτα SD έτσι ώστε οι χρήστες μπορούν να δημιουργήσουν τη δική τους θέρμανση χρονοδιαγράμματα, ανεβάστε προσαρμοσμένες εικόνες και screensavers. Αν οι χρήστες που κατέβασαν το ένα κακόβουλο app ή μια εικόνα στην κάρτα SD, το κακόβουλο λογισμικό θα τρέξει στη συσκευή.

«Οι ερευνητές διαπίστωσαν ότι ο θερμοστάτης δεν ελέγχει πραγματικά τι είδους αρχεία ήταν σε λειτουργία και την εκτέλεση. Στη θεωρία, αυτό θα επιτρέψει σε έναν κακόβουλο χάκερ να κρύβουν κακόβουλο λογισμικό σε μια εφαρμογή ή ό, τι μοιάζει με μια εικόνα και να ξεγελάσουν τους χρήστες να μεταφέρετε στο θερμοστάτη, κάνοντας τον να τρέχει αυτόματα», Μητρική πλακέτα reports.

Δεν είναι εύκολο να τραβήξει από μια επίθεση

Οι ερευνητές για να μην πω ότι θα είναι ένα εύκολο επίθεση για να τραβήξει μακριά, αλλά οι χρήστες το κατέβασμα κάτι κακόβουλο επάνω τους θερμοστάτες δεν είναι πέρα από τα όρια των δυνατοτήτων του.

«Αυτή η άσκηση ήταν για να διαδηλώνουν για ένα θέμα και να ενθαρρύνει τη βιομηχανία να το φτιάξω. Θα κακόβουλο ηθοποιοί κάνεις στο μέλλον; Ίσως, αν και ελπίζουμε ότι η βιομηχανία έχει Πολλά να επιλυθούν αυτά τα ζητήματα πριν επιθέσεις γίνει πραγματικότητα,» λένε οι ερευνητές.

Σχολιάστε