Mit dem Internet verbunden gadgets immer häufiger werden, ist es wichtig, daran zu erinnern, dass Sie noch relativ neu ist und somit nicht so sicher wie Sie sein sollten. Fehler werden entdeckt und gepatcht viele Male, bevor Sie müssen sich keine sorgen machen über jemanden, den Sie ausnutzen, zu Schaden, Sie in irgendeiner Weise.
Ein schönes Beispiel, das letztes Jahr passiert, bei einer DEF CON Konferenz für Sicherheitspolitik. Die zwei weißen Hut Hacker zeigte, wie ein intelligenter thermostat könnte zu einem Alptraum wird. In zwei Tagen konnten Sie zu infizieren, um das Gerät mit Ransomware. Und ein Lösegeld benötigt, um zu zahlen, um Sie zu wiederherstellen die Funktionalität des Geräts. Es ist nicht unbedingt etwas, was man machen sollte, aber die Möglichkeit, dass jemand in der Lage, die Kontrolle über Ihren Internet-verbundenen Gerät ist immer noch ziemlich beängstigend. Die beiden Sicherheitsexperten, die gehackt der thermostat eigentlich gar nicht wollen niemanden verletzen, Sie wollte nur zeigen, wie einige Internet-der-Dinge-Geräte haben keine einfachen Sicherheits-Maßnahmen umgesetzt werden.
“Unsere Absicht war, die Aufmerksamkeit auf den schlechten Zustand der Sicherheit in vielen nationalen IoT-Geräte. Auch um das Bewusstsein in der die security research community, dass es nicht alle über software-hacking. Hardware-hacking ist oft ein einfacher Vektor,” die Forscher erklären in Ihrem blog post.
Wie hat es funktioniert
Die beiden Forscher, Andrew Tierney und Ken Munro, nutzten eine Sicherheitslücke in einem thermostat und infiziert es mit Ransomware. Sie wollte nicht verraten, welche Firma das thermostat Sie haben es geschafft, hack, weil, damals hatten Sie noch nicht kontaktiert wurden die Unternehmen mit Ihren Ergebnissen.
Also, was die Ransomware tun würde, es würde sich sperren, so dass der Benutzer kann nicht nichts ändern, ändern Sie dann die Hitze auf 99 Grad und schließlich, Fragen Sie nach einem PIN. Die PIN ändern alle 30 Sekunden, so dass der Benutzer würde eine schwierige Zeit haben zu erraten. Dass insbesondere Ransomware wurde geschaffen, um zu bitten, für 1 Bitcoin, das Gerät zu entsperren.
“Wir hatten Befehl-injection durch die SD-Karte, so war es ein lokaler Angriff. Mit root können Sie set off alarm (und die Frequenz sehr hoch) und kann heizen und kühlen zur gleichen Zeit,” Tierney explained to Info Security Magazin. Das bedeutet nicht, es ist unmöglich es zu schaffen ohne physischen Zugriff auf das Gerät. Der thermostat, der verwendet wurde, war eine version von Linux, hatte ein LCD-display und eine SD-Karte. Die SD-Karte war es so, dass die Nutzer könnten Ihre eigenen erstellen Heiz-Zeitpläne, hochladen von benutzerdefinierten Bildern und Bildschirmschonern. Wenn die Benutzer heruntergeladen und eine bösartige app oder ein Bild auf die SD-Karte, die malware würde auf dem Gerät ausgeführt werden.
“Die Forscher fanden heraus, dass der thermostat nicht wirklich überprüfen, welche Art von Dateien es ausgeführt wurde und ausgeführt wird. In der Theorie würde dies erlauben einen hacker zu verstecken malware, die in eine Anwendung oder was sieht aus wie ein Bild und trick Benutzer zu übertragen es auf den thermostat, so dass es automatisch ausgeführt wird”, Hauptplatine reports.
Nicht leicht zu ziehen ist ein Angriff
Die Forscher sagen nicht, dass es wäre eine einfache Attacke abziehen, aber die Benutzer herunterladen etwas bösartiges auf Ihrer Thermostate ist nicht jenseits der Möglichkeit.
“Diese übung war zu zeigen das Problem und die Förderung der Industrie, um es zu beheben. Wird böswillige Akteure tun dies in der Zukunft? Vielleicht, aber wir hoffen, dass die IoT-Industrie hat beschlossen, diese Fragen so vor Angriffen Wirklichkeit werden,” sagen die Forscher.