Avec Internet connecté gadgets de plus en plus commun, il est important de se rappeler qu’ils sont encore relativement nouveaux et ne sont donc pas sécurisé comme ils devraient l’être. Défauts sera découvert et corrigé plusieurs fois avant que vous n’avez pas besoin de vous soucier de quelqu’un de prendre avantage de leur faire du mal, d’une certaine façon.
Un bel exemple de ce qui s’est passé l’année dernière, au cours d’un DEF CON conférence sur la sécurité. Deux white hat hackers a montré comment un thermostat intelligent pourrait se transformer en un cauchemar. En deux jours, ils ont réussi à infecter l’appareil avec Ransomware. Et une rançon nécessaire pour être payé afin de restaurer l’appareil de la fonctionnalité. Il n’est pas nécessairement quelque chose que vous devriez vous inquiéter, mais la possibilité de quelqu’un qui est capable de détourner votre appareil connecté à Internet est encore assez effrayant. Les deux chercheurs en sécurité qui a piraté le thermostat n’a pas réellement envie de faire de mal à quiconque, ils ont juste voulu montrer comment certains Internet des objets, les dispositifs n’ont pas de simples mesures de sécurité mises en œuvre.
« Notre intention était d’attirer l’attention sur le mauvais état de la sécurité dans de nombreux intérieurs de Tes appareils. Aussi à sensibiliser les acteurs de la recherche sur la sécurité de la collectivité qu’il n’y a pas que le piratage de logiciel. Matériel de piratage est souvent plus facile de vecteur », expliquent les chercheurs dans leur blog post.
Comment ça marche
Les deux chercheurs, Andrew Tierney et Ken Munro, a profité d’une faille dans un thermostat et il a infecté avec Ransomware. Ils ne veulent pas révéler de la société à ce thermostat ils ont réussi à pirater, car à l’époque ils n’avaient pas encore pris contact avec la société, avec leurs observations.
Donc, ce que le Ransomware serait il serait un lock-out les utilisateurs de sorte qu’ils ne peuvent pas modifier quoi que ce soit, de modifier le chaleur à 99 degrés et enfin, demander un code PIN. Le PIN allait changer toutes les 30 secondes afin que l’utilisateur puisse avoir un moment difficile de deviner qu’il. Cette Ransomware a été créé à poser pour 1 Bitcoin à déverrouiller l’appareil.
« Nous avons obtenu de commande d’injection par la carte SD, donc c’était une attaque locale. Avec la racine, vous pouvez déclencher l’alarme (et régler la fréquence très élevée) et permet de chauffer et de refroidir en même temps, » Tierney explained to Info Security Magazine. Cela ne signifie pas qu’il est impossible de le faire fonctionner sans accès physique à l’appareil. Le thermostat qui a été utilisé est une version de Linux, a un écran LCD, et d’une carte SD. La carte SD a été il y, de sorte que les utilisateurs peuvent créer leurs propres horaires de chauffage, de télécharger des images personnalisées et des économiseurs d’écran. Si les utilisateurs ont téléchargé une application malveillante ou une image sur la carte SD, le malware serait exécuté sur le périphérique.
« Les chercheurs ont constaté que le thermostat n’a pas vraiment de vérifier le type de fichiers qu’il était en cours d’exécution et en cours d’exécution. En théorie, ce serait de permettre à un hacker malveillant pour dissimuler les logiciels malveillants dans une application ou ce qui ressemble à une image et de tromper les utilisateurs à transférer sur le thermostat, le faire fonctionner automatiquement », la carte Mère reports.
Pas facile de tirer d’une attaque
Les chercheurs ne disent pas qu’il serait facile d’attaque à arracher, mais les utilisateurs de télécharger quelque chose de malveillant sur leurs thermostats n’est pas au-delà du domaine du possible.
« Cet exercice a été de définir un problème et d’encourager l’industrie à résoudre. Seront les acteurs malveillants le faire dans l’avenir? Peut-être, bien que nous espérons que l’Ido de l’industrie a résolu ces problèmes de façon avant les attaques de devenir une réalité, » disent les chercheurs.