Réfrigérateur intelligent de samsung vient de se pwned. Que diriez-vous le reste de votre maison intelligente?

3599 $ est beaucoup d`argent.

Video: Revolution OS - movie about GNU/Linux history (English subtitle)

Il pourrait vous obtenir une voiture de seconde main décente, ou dupé relativement sur iMac. Vous pouvez acheter des hamburgers 3599 McChicken, ou 2589 McDoubles. Ou il pourrait vous obtenir le Samsung RF28HMELBSR.

Ce réfrigérateur (snappily-nom) a tout. Il a obtenu quatre portes, un colossal 28 pieds cubes d`espace, et un système intégré, 8” écran tactile LCD compatible WiFi qui vous permet de faire quoi que ce soit de lire les nouvelles, pour contrôler à distance votre smartphone Android.

Si cela semble familier, c`est parce qu`il a déjà été présenté sur ma liste des les plus stupides produits Smart Home jamais. Et ai-je mentionné qu`il est livré avec une vulnérabilité de sécurité massif, béante?Tweeting et Web Réfrigirateurs cuiseurs à riz Contrôlé: 9 des appareils Stupidest Smart HomeTweeting et Web Réfrigirateurs cuiseurs à riz Contrôlé: 9 des appareils Stupidest Smart HomeIl y a beaucoup de périphériques domestiques intelligents qui sont dignes de votre temps et d`argent. mais il y a aussi des types qui ne devraient jamais voir la lumière du jour. Voici 9 des pires.Lire la suite

Smart Réfrigérateur, erreur stupide

Oui, pour l`ensemble de sa sophistication, ce réfrigérateur livré avec une faille de sécurité importante qui pourrait voir un attaquant récolter subrepticement des informations de connexion Gmail.

La vulnérabilité a été rapportée dans le registre le 24 Août et découvert par essai entreprise INFOSEC britannique Pen Parters tout en participant à un Internet des objets (IdO) le piratage défi lors de la récente conférence Defcon 23.

L`écran tactile intégré sur ce réfrigérateur permet à l`utilisateur d`accéder à leur propre calendrier Google. Connexions à et depuis les serveurs de Google sont cryptées en utilisant le cryptage SSL, mais la mise en œuvre de Samsung de SSL ne vérifie pas la validité des certificats.Qu`est-ce qu`un certificat SSL, et avez-vous besoin?Qu`est-ce qu`un certificat SSL, et avez-vous besoin?Surfer sur le net peut être effrayant lorsque des renseignements personnels est impliqué.Lire la suite

RF28HMELBSR

Cela pose un sérieux problème de sécurité, car toute personne sur le réseau serait en mesure de lancer un "L`homme au milieu" attaque et intercepter les informations de connexion de l`utilisateur en transit. Un attaquant serait également en mesure de les obtenir en usurpant un point d`accès, ou par une attaque deauthentication sans fil.

Samsung ont dit qu`ils sont « Enquêter sur cette question le plus rapidement possible », et travaillent probablement à plat pour publier un correctif. Mais cet épisode ne présente une démonstration intéressante de la façon dont mal la sécurité peut se tromper sur l`Internet des objets.

(In) sécurité dans un monde en réseau de choses

Dans le passé, nous avons longuement parlé des risques posés par l`Internet des objets, à la fois d`une vie privée et d`une sécurité et perspective sociologique. L`adressage est difficile de les, parce que quand il s`agit de la sécurité sur Internet des choses, nous rencontrons quelques problèmes.Pourquoi Internet des choses est le plus grand cauchemar de sécuritéPourquoi Internet des choses est le plus grand cauchemar de sécuritéUn jour, vous arrivez à la maison du travail pour découvrir que votre nuage compatible système de sécurité à domicile a été violé. Comment cela pourrait-il arriver? Avec Internet des objets (IdO), vous pouvez savoir à la dure.Lire la suite

Tout d`abord, ces appareils ne sont pas des PC ou des téléphones, dans le respect qui leur sont uniformément faciles à mettre à jour (Windows 10 va même installer des mises à jour en votre nom), Et les vendeurs derrière eux sont impliqués et livrez régulièrement mises à jour logicielles et de sécurité. De nombreux produits intelligents maison ne sont pas « mettre à jour » sur l`air, que ce soit vous obliger à utiliser des logiciels complexes ou peu fiables, le stockage amovible, ou tout simplement ne vous permet pas de mettre à jour le firmware du tout.

Comment pouvez-vous, par exemple, mettre à jour un pot de café interconnecté, ou d`un thermostat informatisé? Il n`y a pas moyen facile, universel de le faire.

Il est également important de tenir compte du fait que beaucoup de ces appareils sont maintenant construits par des gens ordinaires dans leur propre maison. Arduino et Raspberry Pi nous ont permis d`introduire la connectivité réseau et la logique informatique dans les lieux que nous avons pensé possible jamais, alors que les produits tels que Microsoft Windows 10 pour IdO a rendu plus facile d`exposer ces appareils au plus Internet, ouvrant simultanément un monde de possibilités et de risque.Windows 10 - Venir à un Arduino près de chez vous?Windows 10 - Venir à un Arduino près de chez vous?Lire la suite

samsung-experimentationkit

Alors que de nombreux développeurs chevronnés savent comment construire ces dispositifs d`une manière qui est sûr, beaucoup trop de développeurs novices et bricoleurs ne le font pas.

Nous arrivons ensuite sur le problème de la longévité. Encore une fois, ce problème qui est unique endémique au monde Smart Home. Parce que pendant que votre PC et le téléphone logiciel fonctionne qui a été construit par des entreprises ayant une longue histoire et des poches profondes, la plupart de vos appareils intelligents Home ont pas.

La majorité écrasante de ces entreprises sont tôt pour start-up de stade tardif, beaucoup d`entre eux sont à un stade préliminaire de leur développement. S`ils ont fermé, ce qui arrive aux produits qu`ils ont déjà livré? Qui rédigera les mises à jour logicielles et des correctifs de sécurité?

Comme nous l`avons écrit dans le passé, start-up de matériel sont difficiles. Déjà cette année, nous avons vu d`importantes mises à pied à LEEO et Wink - deux des plus grandes start-up Smart Home. Beaucoup plus - comme Lumos - ont échoué à descendre entièrement le sol.Pourquoi matériel startups sont difficiles: Apporter le ErgoDox à la viePourquoi matériel startups sont difficiles: Apporter le ErgoDox à la vieVoici un avis controversé pour vous: le lancement d`un démarrage du logiciel est facile. Matériel, d`autre part? start-up de matériel sont difficiles. Vraiment dur.Lire la suite

Mais peut-être la plus grande et menace la plus durable de Smart Home et Internet de la sécurité Les choses est tout simplement que ces dispositifs sont conçus pour durer plus longtemps que leurs fabricants préféreraient. Systèmes embarqués et produits Smart Home peuvent travailler, heureusement tout à fait, pendant des années et des années. Beaucoup d`entre eux ne fonctionnent pas sur un service d`abonnement.

Sommes-nous attendre Nest et Philips pour offrir des mises à jour aussi longtemps que Microsoft pris en charge Windows XP?

Sur les LAN, dans le feu

Ces problèmes de sécurité sont considérablement exacerbées par le fait que beaucoup de ces appareils sont connectés à l`Internet et plus accessible à distance, introduisant ainsi un assortiment de problèmes de sécurité.

Parce que lorsque vous vous connectez quelque chose à l`Internet, alors vous présenter un nouveau vecteur d`attaque à celui qui est si motivé. Au lieu d`avoir à se connecter à votre réseau domestique, quelqu`un pourrait simplement compromettre à distance il.

Il est plus facile que vous le pensez aussi. Il y a même un moteur de recherche pour les systèmes embarqués, appelé Shodan. Avec juste quelques touches, vous pouvez trouver des systèmes qui ont été exposés à Internet dans le monde entier - des centrales électriques au Japon, aux webcams en Hollande, et les téléphones VoIP à New York.

samsung-shodan-IOT

la simple recherche pour « Web Cam » expose des milliers de webcams accessibles à distance. Je ne l`ai pas accéder à tout cependant, car cela presque certainement en moi briser le Computer Misuse Act 1990.L`ordinateur Utilisation abusive Loi: La loi criminalisant Piratage Au Royaume-UniL`ordinateur Utilisation abusive Loi: La loi criminalisant Piratage Au Royaume-UniAu Royaume-Uni Computer Misuse Act 1990 traite des crimes de piratage. Twhis loi controversée a été récemment mis à jour pour donner l`organisation du renseignement du Royaume-Uni GCHQ le droit légal de pirater un ordinateur. Même le vôtre.Lire la suite

samsung-shodan-webcam

C`est effrayant. Nous avons commencé à présenter nos maisons à l`Internet, et il est trivialement facile de les trouver et de lancer des attaques ciblées sur eux. Nous devrions être préoccupés.

Alors qu`est ce qui peut être fait?

Les failles de sécurité, comme celle qui se trouve dans le réfrigérateur Android de Samsung, sera toujours là. Tant qu`il est facile pour les fournisseurs d`émettre des correctifs, et ils sont constamment mis à jour tout au long de la durée de vie des appareils, ce n`est pas trop un problème.

Mais il est important que nous abordons les autres questions. Des efforts doivent être déployés pour assurer les développeurs de produits Smart Home et IdO savoir comment développer des systèmes sécurisés. Cela pourrait se faire par une plus grande sensibilisation avec la communauté de la sécurité.

Il y a un certain nombre de précédents à cet égard. Le projet OWASP (Open Application Security Project Web) est celui qui vient immédiatement à mind.Launched en 2004, a produit du matériel éducatif librement disponible qui enseigne aux développeurs comment créer des sites Web sécurisés, et les pirates comment tester correctement la sécurité des applications Web .

OWASP-présentation

Il n`y a pas quelque chose de similaire raison ne pouvait être créé pour le monde intelligent à domicile et Internet des choses développeurs.

De plus, nous devons nous assurer que les systèmes Smart Home sont mis à jour et maintenus, même si les vendeurs se replient. Cela peut être fait en rendant obligatoire tout le monde sort son code dans un entiercement de code source, où le code est accessible si les fichiers de la société pour la faillite, ou ne parvient pas à maintenir le logiciel d`une manière qui est satisfaisante.

Et en tant que consommateurs, nous devrions commencer à exiger davantage de fournisseurs. Nous devrions exiger que les appareils que nous achetons sont pris en charge avec les correctifs de sécurité pour la durée de vie du produit. Nous devons nous attendre à ce que les problèmes de sécurité sont résolus rapidement et de manière décisive. Nous devons attendre à ce que les fournisseurs traitent les menaces de sécurité avec une transparence absolue. Et nous ne devrions pas fréquenter les fournisseurs qui ne respectent pas cette norme maigre.

Ce sont tous des changements relativement faibles, mais il n`y a aucune raison de penser qu`ils ne permettraient pas de dispositifs intelligents Accueil plus sûrs. Mais qu`est ce que tu penses?

Si vous avez des pensées, ou avez des histoires d`horreur de l`insécurité IdO, je veux entendre parler. Faites-moi savoir dans les commentaires ci-dessous, et nous causerons.

Crédits photo: Arduino Kit Expérimentation (Oomlout), IMG_5145 (JWalsh)

Articles connexes