Por qué el iKettle Hack debería preocuparte (incluso si no tienes uno)

Cuando se trata de la tecnología Smart Home, no hay escasez de productos cuya razón de ser es cuestionable, por decirlo suavemente. De hecho, escribí un artículo completo en el que tuiteaba refrigeradores y ollas arroceras controladas por la web: 9 de los electrodomésticos inteligentes más estúpidos tuiteaba frigoríficos y arroceras controlados por la web: 9 de los electrodomésticos inteligentes más estúpidos. tu tiempo y tu dinero Pero también hay tipos que nunca deben ver la luz del día. Aquí hay 9 de los peores. Lea más sobre ellos en abril de este año. Uno de los dispositivos que mencioné fue el iKettle, de Smarter Labs..

iKettle 2.0 (viene con el enchufe del Reino Unido y requiere el convertidor de energía de los EE. UU.) iKettle 2.0 (viene con el enchufe del Reino Unido y requiere el convertidor de energía de los EE. UU.) Compra ahora en Amazon

El iKettle es un hervidor habilitado para WiFi. Sí, lo leiste bien. Aparentemente, la tarea de calentar el agua hasta su punto de ebullición es algo que solo se puede lograr con la integración WiFi..

Ah, y ¿mencioné que vino con una enorme falla de seguridad enorme que tenía el potencial de abrir redes WiFi completas??

Cómo funcionó el ataque

Sí, resulta que el iKettle no es demasiado caliente (lo siento) cuando se trata de seguridad. Con solo un par de pasos, puedes convencerlo para que descargue la contraseña de WiFi del usuario. Entonces, ¿cómo se corta un hervidor?

Primero, el atacante necesitaría identificar una red inalámbrica con un iKettle conectado. Luego, crearían su propia red inalámbrica utilizando el mismo SSID..

Cuando el iKettle cambia a esa red, el atacante puede conectarse a través del puerto 23 mediante Telnet. ¿Qué es Telnet y cuáles son sus usos? [MakeUseOf explica] ¿Qué es Telnet y cuáles son sus usos? [MakeUseOf Explica] Telnet es uno de esos términos técnicos que puede escuchar ocasionalmente, pero no en un anuncio ni en una lista de características de ningún producto que pueda comprar. Eso es porque es un protocolo, o un lenguaje ... Leer más. Esta es una herramienta disponible de forma gratuita que es similar a SSH y permite a los usuarios administrar computadoras de forma remota.

El iKettle le pedirá al atacante un código de acceso de seis dígitos. Esto puede ser de fuerza bruta, pero si el hervidor se configuró con un dispositivo Android, tiene la contraseña predeterminada de 000000. Una vez autenticado, el atacante le indicará al hervidor que haga una lista de sus configuraciones. En ese momento, escupirá toda la contraseña de WiFi en caché en texto sin formato, lo que permitirá a un atacante obtener acceso a toda la red.

El problema de la gestión

Un portavoz de Smarter Labs estaba ansioso por subrayar que la solución para este problema no está muy lejos.

“Nos tomamos muy en serio la seguridad aquí en Smarter y trabajamos con nuestros ingenieros para garantizar que nuestros nuevos productos no tengan problemas de seguridad. Estaremos actualizando el producto efectuado en noviembre para erradicar ese problema..”

También destacaron que el próximo iKettle no se verá afectado:

“Nuestro nuevo producto y aplicación tienen características de seguridad actualizadas que no son relevantes para [la vulnerabilidad].”

Los usuarios con un hervidor afectado pueden actualizarlo utilizando la aplicación iKettle, disponible para iPhone y Android. Mientras tanto, puede ser conveniente conectar un segundo enrutador a su red doméstica con un SSID diferente y conectar su hervidor a esa red. Puede encontrar un enrutador perfectamente adecuado de Amazon por tan solo $ 10.

Este episodio nos recuerda cómo son los productos para el hogar inteligente que utilizamos esencialmente computadoras, y cómo enfrentan los mismos problemas de seguridad que las computadoras tradicionales. Es extraño imaginar a alguien utilizando Telnet para conectarse a un hervidor, pero aparentemente es una cosa..

A medida que el campo de la casa inteligente inevitablemente madura, los fabricantes estarán bajo una presión cada vez mayor para considerar la seguridad de sus dispositivos. Y cuando las cosas van mal (como inevitablemente lo hacen), pueden esperar tener los pies sobre las brasas..

Los fabricantes deberán diseñar sus productos para que sean fáciles de restablecer y actualizar. Tendrán que adoptar un enfoque proactivo de la seguridad de sus dispositivos y trabajar con investigadores de seguridad. Tendrán que aprender a administrar la divulgación. Divulgación completa o responsable: cómo se revelan las vulnerabilidades de seguridad. Divulgación completa o responsable: cómo se divulgan las vulnerabilidades de seguridad. Las vulnerabilidades de seguridad en los paquetes de software populares se descubren todo el tiempo, pero ¿cómo se informan a los desarrolladores? ¿Y cómo aprenden los hackers sobre las vulnerabilidades que pueden explotar? Lea más y sus relaciones con la comunidad de seguridad. Oracle quiere que usted deje de enviarlos. Aquí está la razón por la que está loco. Oracle quiere que deje de enviarlos. Esta es la razón por la que está loca. Oracle está en el agua por una publicación maliciosa del blog del jefe de seguridad, Mary. Davidson. Esta demostración de cómo la filosofía de seguridad de Oracle se separa de la corriente principal no se recibió bien en la comunidad de seguridad ... Leer más, lo que a algunos les resulta increíblemente difícil de hacer.

Los fabricantes deberán considerar cómo garantizar la seguridad de sus dispositivos, en caso de quiebra. Más importante aún, tendrán que establecer un consenso con sus clientes sobre cuánto tiempo se espera que mantengan un producto en particular..

Obsolescencia no planificada

Un amigo mío tiene un microondas que es literalmente antiguo. Suena como una hipérbole, pero no lo es. Lo heredó de sus padres, quienes a su vez lo compraron en un hipermercado que ya no existe en la década de 1980. Déjame poner eso en contexto: su microondas es mayor que yo.

Pero aquí está la cosa; es un microondas perfectamente adecuado. Casi treinta años después, aún puede convertir una lasaña congelada en un charco de queso fundido, y aún puede descongelar fácilmente la carne congelada. Literalmente no hay razón para reemplazarlo..

Eso es lo que pasa con los electrodomésticos tradicionales. No están sujetos al mismo ciclo de obsolescencia programada que consumirás: la historia de la electrónica de consumo [Característica] que consumirás: la historia de la electrónica de consumo [característica] Cada año, exposiciones en todo el mundo presentan nuevos dispositivos de alta tecnología; Juguetes caros que vienen con muchas promesas. Su objetivo es hacer nuestras vidas más fáciles, más divertidas, súper conectadas y, por supuesto, son un estado ... Leer más que la mayoría de la tecnología. No hay tal cosa como una “ciclo de refresco del refrigerador”. No hay tal cosa como una “actualización de dos años” en el mundo de los electrodomésticos.

Otra cosa: el microondas de mi amigo fue fabricado en un país que ya no existe (la República Democrática Alemana, también conocida como Alemania Oriental), por una compañía que ha dejado de existir de manera similar. Pero eso no supuso ningún obstáculo para que él hiciera nachos de microondas con queso, treinta años después.

Es un asunto diferente para la tecnología de casa inteligente. Es muy probable que su hervidor computarizado, o su sombrilla habilitada para WiFi, requiera actualizaciones periódicas de rendimiento y seguridad.

El problema es que los programadores son. costoso, y es fundamentalmente poco realista esperar que las compañías de software mantengan sus productos por tiempo indefinido. Finalmente, tienen que dejarlo pasar, como lo hizo Microsoft con Windows XP Lo que significa Windows XPocalypse para usted Lo que significa Windows XPocalypse para usted Microsoft va a eliminar el soporte para Windows XP en abril de 2014. Esto tiene graves consecuencias para ambos. Empresas y consumidores. Esto es lo que debe saber si todavía está ejecutando Windows XP. Leer más a principios de 2014.

Luego, está la pequeña cuestión de que las compañías de tecnología tienden a implosionar como la Estrella de la Muerte, dejando una gran cantidad de adhesivos promocionales para computadoras portátiles y códigos que ahora no son compatibles a su paso. Para darle solo tres (de muchos) ejemplos, hay Silicon Graphics, Palm y Commodore.

Si compra un producto que inherentemente necesita una gran cantidad de administración solo para mantenerlo seguro y operando sin problemas, se arriesga a que la compañía se quede con él para apoyarlo. Eso no siempre es una apuesta segura..

Protegiendo el Internet de las cosas

En este momento, el Internet de las cosas es una idea incipiente, todavía medio formada. Todavía es mucho un experimento, con docenas de preguntas sin respuesta.

En caso de que los fabricantes sean responsables de la seguridad de los productos que venden.? Si es así, en qué medida?

¿Debería esperarse razonablemente que una empresa respalde un producto de IoT o Smart Home?? Si es asi cuanto tiempo?

¿Qué pasa si el fabricante falla?? Muchas startups se han comprometido a liberar su código bajo el dominio público, en caso de que falle. ¿Deberían los fabricantes de casas inteligentes ser obligados a hacer lo mismo??

¿Hay algo que los consumidores puedan hacer para garantizar que su hardware esté seguro?? Entonces qué?

Estas preguntas serán respondidas a tiempo. Pero hasta que lo sean, sospecho que la mayoría de los consumidores se mostrarán reticentes a abrazar el mundo de Internet de las Cosas.

Pero ¿qué piensas? Déjame un comentario abajo, y charlaremos..

Explorar más sobre: ​​violación de seguridad, dispositivo inteligente.