En matière de technologie Smart Home, les produits dont la raison d'être est discutable ne manquent pas, c'est le moins qu'on puisse dire. En fait, j'ai écrit un article entier Tweeting Réfrigérateurs et cuiseurs de riz contrôlés par le Web: 9 des appareils ménagers Smart Stupidest Tweeting Réfrigérateurs et cuiseurs de riz contrôlés par le Web: 9 des appareils ménagers intelligents Stupidest Il y a beaucoup d'appareils intelligents à domicile qui sont dignes de votre temps et votre argent. mais il y a aussi des sortes qui ne devraient jamais voir la lumière du jour. Voici 9 des pires. Lire la suite sur eux en avril de cette année. L'un des appareils que j'ai mentionnés était l'iKettle de Smarter Labs.
iKettle 2.0 (Livré avec prise UK et nécessite US Power Converter) iKettle 2.0 (Livré avec prise UK et nécessite US Power Converter) Acheter maintenant sur Amazon
L'iKettle est une bouilloire WiFi. Oui, tu l'as bien lu. Apparemment, la tâche de chauffer l'eau à son point d'ébullition est quelque chose qui ne peut être accompli avec l'intégration WiFi.
Oh, et ai-je mentionné qu'il est venu avec une faille de sécurité massive, béante qui avait le potentiel de faire sauter des réseaux WiFi entiers?
Comment l'attaque a fonctionné
Oui, il s'avère que l'iKettle n'est pas trop chaud ( désolé ) quand il s'agit de la sécurité. En quelques étapes, vous pouvez le convaincre de cracher le mot de passe WiFi de l'utilisateur. Alors, comment bidouillez-vous une bouilloire?
Tout d'abord, l'attaquant devrait identifier un réseau sans fil avec un iKettle connecté. Ensuite, ils créeraient leur propre réseau sans fil en utilisant le même SSID.
Lorsque l'iKettle bascule sur ce réseau, l'attaquant peut s'y connecter via le port 23 à l'aide de Telnet. Qu'est-ce que Telnet et quelles sont ses utilisations? [MakeUseOf explique] Qu'est-ce que Telnet et quelles sont ses utilisations? [MakeUseOf Explains] Telnet est l'un de ces termes techniques que vous pouvez entendre occasionnellement, mais pas dans une liste d'annonces ou de listes de produits que vous pouvez acheter. C'est parce que c'est un protocole, ou une langue ... Lire la suite. Il s'agit d'un outil disponible gratuitement, similaire à SSH, qui permet aux utilisateurs de gérer à distance les ordinateurs.
L'iKettle demandera alors à l'attaquant un code d'accès à six chiffres. Cela peut être forcé par la force, mais si la bouilloire a été configurée avec un appareil Android, elle a le mot de passe par défaut 000000 . Une fois authentifié, l'attaquant dira à la bouilloire de lister ses paramètres. À ce stade, il crachera le mot de passe WiFi en cache en texte brut, permettant à un attaquant d'accéder à l'ensemble du réseau.
Le problème de la gestion
Un porte-parole de Smarter Labs était impatient de souligner qu'une solution à ce problème n'est pas loin.
"Nous prenons la sécurité très au sérieux ici chez Smarter et travaillons avec nos ingénieurs pour nous assurer que nos nouveaux produits ne rencontrent pas de problèmes de sécurité. Nous mettrons à jour le produit affecté en novembre pour éradiquer ce problème. "
Ils ont également souligné que le prochain iKettle ne sera pas affecté:
"Notre nouveau produit et notre application ont des fonctionnalités de sécurité mises à jour qui ne sont pas pertinentes pour [la vulnérabilité]."
Les utilisateurs disposant d'une bouilloire affectée peuvent la mettre à jour à l'aide de l'application iKettle, disponible pour iPhone et Android. En attendant, il peut être judicieux d'attacher un deuxième routeur à votre réseau domestique avec un SSID différent, et connectez votre bouilloire à cela. Vous pouvez trouver un routeur parfaitement adapté d'Amazon pour aussi peu que 10 $.
Cet épisode nous rappelle comment les produits de la maison intelligente que nous utilisons sont essentiellement des ordinateurs, et comment ils font face aux mêmes problèmes de sécurité que les ordinateurs traditionnels. C'est bizarre d'imaginer quelqu'un qui utilise Telnet pour se connecter à une bouilloire, mais apparemment c'est une chose.
Comme le domaine de la maison intelligente évolue inévitablement, les fabricants seront de plus en plus pressés de considérer la sécurité de leurs appareils. Et quand les choses tournent mal (comme elles le font inévitablement), ils peuvent s'attendre à avoir les pieds au-dessus des charbons.
Les fabricants devront concevoir leurs produits pour qu'ils soient faciles à réinitialiser et à mettre à jour. Ils devront adopter une approche proactive de la sécurité de leurs appareils et travailler avec des chercheurs en sécurité. Ils devront apprendre à gérer la divulgation Divulgation complète ou responsable: divulgation des vulnérabilités de sécurité Divulgation complète ou responsable: divulgation des vulnérabilités de sécurité Les vulnérabilités de sécurité dans les progiciels les plus courants sont découvertes en permanence, mais comment sont-elles signalées aux développeurs? et comment les pirates informatiques apprennent-ils les vulnérabilités qu'ils peuvent exploiter? Lire la suite et leurs relations avec la communauté de sécurité Oracle veut que vous arrêtiez de les envoyer - Voici pourquoi c'est fou Oracle veut que vous arrêtiez de les envoyer - Voici pourquoi c'est fou Oracle est dans l'eau chaude sur un blog mal orienté par Mary Davidson. Cette démonstration de la façon dont la philosophie de sécurité d'Oracle s'écarte du courant dominant n'a pas été bien reçue dans la communauté de la sécurité ... Lisez plus, que certains ont trouvé incroyablement difficile à faire.
Les fabricants devront réfléchir à la manière d'assurer la sécurité de leurs appareils en cas de faillite. Plus important encore, ils devront établir un consensus avec leurs clients sur la durée pendant laquelle ils devront maintenir un produit particulier.
Obsolescence non planifiée
Un de mes amis a un micro-ondes qui est littéralement ancien . Cela ressemble à une hyperbole, mais ce n'est pas le cas. Il en a hérité de ses parents, qui l'ont acheté à son tour dans un hypermarché aujourd'hui disparu dans les années 1980. Laissez-moi mettre cela en contexte: son micro-ondes est plus vieux que moi .
Mais voici la chose; C'est un micro-ondes parfaitement adéquat . Près de trente ans plus tard, il est encore possible de transformer un plat cuisiné de lasagnes surgelées en une marmite de fromage fondu fumante, et il peut encore facilement décongeler de la viande congelée. Il n'y a littéralement aucune raison de le remplacer.
C'est la chose à propos des produits blancs traditionnels. Ils ne sont pas soumis au même cycle d'obsolescence programmée que vous consommez: L'histoire de l'électronique grand public [Dossier] Vous consommez: L'histoire de l'électronique grand public [Dossier] Chaque année, des expositions présentent de nouveaux appareils de haute technologie; jouets coûteux qui viennent avec de nombreuses promesses. Ils visent à rendre notre vie plus facile, plus amusante, super connectée, et bien sûr, ils sont le statut ... Lire la suite que la plupart des technologies sont. Il n'y a pas de «cycle de rafraîchissement du réfrigérateur». Il n'y a pas de «mise à jour de deux ans» dans le monde des produits blancs.
Autre chose: le micro-ondes de mon ami a été fabriqué dans un pays qui n'existe plus (la République Démocratique Allemande, également connue sous le nom d'Allemagne de l'Est) par une société qui a de même cessé d'exister. Mais cela ne l'a pas empêché de fabriquer des nachos au micro-ondes au fromage, trente ans plus tard.
C'est une question différente pour la technologie de la maison intelligente. Il est fort probable que votre bouilloire informatisée, ou votre parasol activé par WiFi, nécessitera des mises à jour périodiques de performance et de sécurité.
Le problème est que les programmeurs sont chers et il est fondamentalement irréaliste de s'attendre à ce que les éditeurs de logiciels maintiennent leurs produits indéfiniment. Finalement, ils doivent laisser tomber, comme Microsoft l'a fait avec Windows XP Ce que Windows XPocalypse signifie pour vous Ce que Windows XPocalypse signifie pour vous Microsoft va tuer le support pour Windows XP en avril 2014. Cela a de graves conséquences pour les deux les entreprises et les consommateurs. Voici ce que vous devez savoir si vous utilisez Windows XP. Lire la suite au début de 2014.
Ensuite, il y a la petite affaire des entreprises technologiques qui ont tendance à imploser comme The Death Star, laissant derrière elles une montagne d'autocollants promotionnels pour ordinateur portable et un code désormais non supporté. Pour vous donner seulement trois (parmi de nombreux) exemples, il y a Silicon Graphics, Palm et Commodore.
Si vous achetez un produit qui a intrinsèquement besoin de beaucoup de gestion, juste pour le garder sécurisé et fonctionner sans heurt, vous prenez le risque que la société reste là pour le soutenir. Ce n'est pas toujours un pari sûr.
Protéger l'Internet des objets
À l'heure actuelle, l'Internet des objets est une idée naissante, encore à moitié formée. C'est toujours une expérience, avec des dizaines de questions encore non-répondues.
Les fabricants devraient-ils être responsables de la sécurité des produits qu'ils vendent? Si oui, dans quelle mesure?
Une entreprise devrait-elle raisonnablement soutenir un produit IoT ou Smart Home? Si oui, combien de temps?
Que se passe-t-il si le fabricant échoue? Beaucoup de startups ont promis de publier leur code dans le domaine public, en cas d'échec. Les fabricants de maisons intelligentes devraient-ils être obligés de faire de même?
Y at-il quelque chose que les consommateurs peuvent faire pour s'assurer que leur matériel est sécurisé? Si oui, quoi?
Ces questions recevront une réponse à temps. Mais jusqu'à ce qu'ils le soient, je soupçonne que la majorité des consommateurs seront réticents à embrasser le monde de l'Internet des Objets.
Mais qu'est ce que tu penses? Laissez-moi un commentaire ci-dessous, et nous discuterons.