Überleben in einer IoT-fähigen Welt
Gewusst wie:
verwenden Sie intelligente Geräte und
bleiben Sie sicher vor
Hackern
Kommunikation mit Lieferanten
Wir haben unsere Ergebnisse an den Lieferanten der Kaffeemaschine berichtet,
und der Verkäufer hat das Problem anerkannt und hat uns mit der folgenden
Anweisung:
"Benutzerfreundlichkeit und Sicherheit sind uns sehr wichtig und wir bemühen
uns ständig, die richtige Balance zwischen den beiden. Die tatsächlichen
Risiken im Zusammenhang mit der Schwachstellen, die Sie während des Setups
erwähnt sind extrem niedrig. Um Zugang zu erhalten, hätte ein Hacker zu
physisch im Umkreis des Heimnetzwerkes zum genauen Zeitpunkt der Set-up,
ein Zeitfenster von nur ein paar Minuten. Das heißt, müsste ein Hacker speziell
gezielt einen intelligente Kaffeemaschine Benutzer und werden um genau an
dem Punkt des Set-up, was sehr unwahrscheinlich ist. Aus diesem Grund glauben
wir nicht, dass die potenziellen Schwachstellen rechtfertigen die erheblichen
negativen Auswirkungen wird, die es auf User Experience haben, wenn wir
die vorgeschlagenen Änderungen vornehmen. Obwohl keine konkrete Pläne, unsere
Set-up-Verfahren zu ändern in den Werken sind, wir sind ständig Neubewertung
und würde nicht zögern, Änderungen vorzunehmen, wenn Risiken mehr an Bedeutung
gewinnen. Etwas in naher Zukunft ändern sollte werden wir Sie wissen lassen."
Wir nicht ganz einverstanden mit dieser Aussage und muss zugeben, dass die
Angriffsfenster extrem kurz ist. Die Sicherheitsanfälligkeit könnte in mehrfacher
Hinsicht gepatcht, aber anhand der Ergebnisse unserer eigenen Analyse, fast
all diese Möglichkeiten würde bedeuten, dass Änderungen an der Hardware
(der Ethernet-Anschluss auf der Kaffeemaschine oder eine Tastatur für das
Passwort würde das Problem lösen) oder die Bereitstellung von einzigartigen
Pin-Code für jede Kaffeemaschine, einschließlich derer, die bereits verkauft
wurden , das ist nicht einfach aus logistischer Sicht. Solche Änderungen
würde die Benutzerfreundlichkeit erheblich auswirken und den Setup-Vorgang
würde weniger einfach.
Die einzige Software-Verlegenheit, die wir anbieten können ist, asymmetrischen
Verschlüsselung implementieren. In diesem Fall würde die Kaffeemaschine
haben aussenden der Verschlüsselung mit öffentlichem Schlüssel des Benutzers
Smartphone und nur danach der Austausch sensibler Daten beginnen würde.
Jedoch noch Benutzer in einem bestimmten Wi-Fi-Netzwerk, einschließlich
des Angreifers die Kontrolle über die Maschine dadurch wäre. Der öffentliche
Schlüssel wäre für jedermann zugänglich, und der erste Benutzer, es zu erhalten
und stellen Sie die Verbindung mit der Kaffeemaschine werden in der Lage,
es zu kontrollieren. Dennoch muss der berechtigte Benutzer der Kaffeemaschine
mindestens einen Anhaltspunkt, dem etwas geht schief, als während/nach?
ein erfolgreicher Angriff wäre sie nicht mit dem Gerät kommunizieren. Dies
ist nicht der Fall mit der aktuellen Software läuft auf der Kaffeemaschine.
So wir sagen können, dass zu einem gewissen Grad wir die Anbieter Logik
verstehen: die Höhe des Risikos dieser Frage bringt entspricht nicht den
Grad der Komplexität der Maßnahmen, die umgesetzt werden müssen, um das
Problem zu beseitigen. Abgesehen davon, wäre es falsch zu sagen, dass der
Verkäufer nicht über die Sicherheit ihrer Produkte überhaupt denken: wie
bereits erwähnt, wird das Kennwort in geschützter Form übertragen und müssen
Sie die Antenne in besonderer Weise zu halten.
Jedoch die Anfälligkeit existiert noch und für einen intelligenten Verbrecher
wäre es kein Problem zu nutzen um Ihr WLAN-Passwort zu erhalten. Die Situation
ist interessant: Wenn Sie ein Benutzer dieser Kaffeemaschine, jedes Mal,
wenn Sie ändern das Kennwort für Ihr WLAN-Heimnetzwerk um es sicherer zu
machen, sind Sie tatsächlich dieses neue Kennwort aussetzt, weil jedes Mal,
wenn Sie ein neues Passwort implementieren, Sie die Kaffeemaschine wieder
einrichten müssen. Und man kann nie wissen, ob jemand Ihr Passwort oder
nicht geschnüffelt hatte. Für manche Menschen kann dies kein Problem sein,
aber für andere ist es sicherlich ein Sicherheitsproblem.
Aus diesem Grund geben wir nicht der Hersteller oder das Modell nicht zu
unerwünschten auf die gefährdeten Produkt aufmerksam zu machen. Jedoch,
wenn Sie einem Benutzer eine Smartphone-gesteuerte Kaffeemaschine und Sie
besorgt über diese Frage sind, zögern Sie nicht, kontaktieren den Hersteller
und Fragen sie, ob unsere Ergebnisse haben etwas mit dem Produkt zu tun,
die Sie besitzen oder kaufen möchten.
Auf das letzte Kapitel unserer Reise in die unsicheren Welt des Internet
der Dinge.