Ερευνητές Ασφάλειας του Pen Test Partners βρήκαν μια ευπάθεια ασφαλείας στο iKettle Wi-Fi Electric Kettle που επιτρέπει στους επιτιθέμενους να σπάσουν τον κωδικό πρόσβασης του δικτύου WiFi στο οποίο είναι συνδεδεμένος ο βραστήρας.
Το iKettle είναι μια ηλεκτρονική συσκευή νέας εποχής που οι κατασκευαστές χλευάζουν ως συσκευές IoT (Internet of Things).
Ο βραστήρας, εκτός από το να βράζει νερό, μπορεί να συνδεθεί στο οικιακό δίκτυο WiFi του χρήστη και συνοδεύεται από μια Android και μια iOS εφαρμογή που επιτρέπει στον χρήστη να ανάβει τον βραστήρα και να βράζει το νερό από ένα άλλο δωμάτιο ή μια άλλη περιοχή. Αυτό σημαίνει ότι ο βραστήρας αποθηκεύει τον κωδικό πρόσβασης του τοπικού δικτύου WiFi του χρήστη, κάπου στις ρυθμίσεις του.
Συγκεκριμένα, η έρευνα διεξήχθη φέτος το καλοκαίρι στο πλαίσιο της πρωτοβουλίας της Pen Test Partners για την εξεύρεση και τη γνωστοποίηση τρωτών σημείων ασφάλειας σε συσκευές IoT και τεκμηριώθηκε στο site τους με λεπτομέρειες.
Δείτε αυτό το VIDEO
Για να συνοψίσουμε τα ευρήματά τους, οι επιτιθέμενοι θα μπορούν εύκολα να χρησιμοποιήσουν μια κεραία που θα στοχεύει ένα σπίτι όπου χρησιμοποιείται το iKettle, θα αναγκάζουν το βραστήρα να φύγει από το υπάρχον δίκτυο Wi-Fi του πλαστογραφώντας το SSID του αρχικού δικτύου και θα ξεγελούν το iKettle ώστε να συνδεθεί στο δίκτυο του εισβολέα χρησιμοποιώντας τον κωδικό πρόσβασης για το αρχικό δίκτυο WiFi.
Οι ερευνητές λένε ότι χρησιμοποιώντας αυτό το απλό τρικ και τις πληροφορίες για τα iKettles που πήραν από wigle.net και το Twitter, οδήγησαν γύρω από το Λονδίνο, έσπασαν οικιακά δίκτυα WiFi και δημιούργησαν έναν χάρτη από ανασφαλή δίκτυα Wi-Fi σε όλη την πόλη. Για λόγους ασφαλείας και προστασίας της ιδιωτικής ζωής, είπαν ότι δεν θα αποκαλύψουν αυτόν το χάρτη.
Επιπλέον, οι ερευνητές διαπίστωσαν ότι η εφαρμογή smartphone που ελέγχει τη συμπεριφορά του iKettle χρησιμοποιεί το ανασφαλές πρωτόκολλο Telnet για να αναμεταδίδει τις εντολές στη συσκευή.
Και οι δύο εφαρμογές χρησιμοποιούν το PIN για να ελέγξουν την ταυτότητα του χρήστη του βραστήρα, όμως και οι δύο είναι εύκολο να παραβιαστούν μέσα σε λίγες ώρες, όπως ανακάλυψαν οι ερευνητές.
Ωστόσο, η εφαρμογή του iOS είναι πιο ασφαλής επειδή χρησιμοποιεί ένα 6-ψήφιο κωδικό PIN , αλλά η εφαρμογή Android χρησιμοποιεί μόνο έναν 4-ψήφιο κωδικό.
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου