Martin Hron, säkerhetsforskare hos IT-säkerhetsföretaget Avast, har presenterat en ny angreppsmetod mot kaffeautomater.
I ett blogginlägg beskriver Hron hur han går igenom rekonstruktionen av en kaffemaskin, så kallad reverse engineering. Genom detta lyckas han utveckla en metod som får kaffemaskinen att bli ett centrum för att angripa andra uppkopplade prylar. Den här kaffemaskinen är en variant som kopplas upp via Wifi.
”Jag blev tillfrågad att bevisa en myt, eller snarare en misstänksamhet, mot hotet av att IoT enheter inte bara kan ges tillgång till via en svag router eller exponering till internet, men att en IoT enhet själv är sårbar och lätt kan ägas utan nätverk eller en router.”
Hron upptäckte att Wifi-anslutningen till kaffemaskinen agerar som en accesspunkt som kommunicerar okrypterat med en telefon-applikation. Telefonens mjukvara ansvarar också för att skicka ut nya firmwire-uppdateringar till kaffemaskinen och det är också denna mjukvara som Hron har dekonstruerat. I hans metod så monterar han ner den för att få reda på vilken processor som används och sedan använder han den kunskapen för att skriva ett Python-script som härmar firmwire-uppdateringen men istället installerar en modifierad mjukvara.
När en användare sedan försöker ansluta enheten till hemmanätverket aktiveras en funktion i mjukvaran som får kaffemaskinen att värma plattan, skjuta ut kokande vatten och få kaffekvarnen att mala bönor. Detta sker samtidigt som skärmen visar olika grafiska bilder och högtalarna ger ut ett ändlöst pipande. Vill man få kaffemaskinen att sluta måste man dra ut strömsladden.
Just denna metod är inte enkel i praktiken eftersom angriparen måste vara inom Wifi-nätverkets vidd samt ha kännedom om kaffemaskinen har just en sådan där processor. Men Hron säger att han tagit fram metoden för att visa de risker som finns med att ha uppkopplade prylar hemma.
Eftersom metoden inte är särskilt avancerad och att många företag inte är medvetna om riskerna ökar det möjligheten för att vissa människor utvecklar liknande eller mer avancerade angreppsmetoder.
Liknande artiklar:
Dataläcka från säkerhetsföretaget Gunnebo har spri...
2012 drabbades det sociala jobbnätverket LinkedIn ...
Ladda ner Nya Dagbladets mobilapp!
