Умный холодильник выдал хакерам пароль от Gmail

Тема в разделе "Новости информационной безопасности", создана пользователем лис.хвост, 26 авг 2015.

  1. лис.хвост
    Оффлайн

    лис.хвост VIP Разработчик

    Сообщения:
    631
    Симпатии:
    983
    Специалисты по безопасности после нескольких попыток сумели взломать холодильник Samsung и выманить у него учетные данные от аккаунта Gmail. Холодильник модели RF28HMELBSR сильно сопротивлялся, но шансов у него было мало, ведь компания-производитель не позаботилась о правильной проверке сертификата SSL при установке защищенного соединения с сервером Google.
    Взлом холодильника осуществлен хакерами из компании Pen Test Partners во время пентестерского конкурса на конференции Defcon. Подключенный к интернету холодильник авторизуется на сайте Google Calendar, чтобы показывать хозяину информацию о текущих делах на встроенном экране.
    Бытовой прибор работает точно так же, как любое другое устройство с установленной программой для Google Calendar.
    Хотя в холодильнике реализована поддержка SSL, но проверка сертификата де-факто не осуществляется, что делает возможным проведение атаки MiTM. Устройство подключается к сети по Wi-Fi, так что теоретически провести атаку можно из-за пределов квартиры, от соседей или с улицы, передает xakep.ru.
    Просканировав порты, хакеры нашли два сервиса на портах 4444 (SSL) и 8888. Первый из них используется встроенным мобильным приложением, которое извлекает сертификат из локального хранилища. Правда, им так и не удалось подобрать пароль для него. Также безуспешной оказалась попытка заменить прошивку холодильника через поддельное обновление.
    Тем не менее, MiTM-атака признана успешной, поскольку холодильник все-таки выдал учётные данные от аккаунта Google.

    Источник: Умный холодильник выдал хакерам пароль от Gmail
     
    Theriollaria, Dragokas, Phoenix и 5 другим нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Был бы умный - соврал.
     
    Охотник, Kиpилл, ScriptMakeR и ещё 1-му нравится это.
  3. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.227
    Симпатии:
    4.980
    Каспер срочно выпустит версию для холодосов!
    И утюгов.
    И сковородок.
    И версию для носков еще...
     
    Theriollaria, Dragokas и лис.хвост нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Фирменную!
    alex-41.jpg
     
    Последнее редактирование: 26 авг 2015
    Kиpилл, Охотник и Dragokas нравится это.
  5. лис.хвост
    Оффлайн

    лис.хвост VIP Разработчик

    Сообщения:
    631
    Симпатии:
    983
    Взлом «умных» чайников может стать причиной похищения персональных данных
    [​IMG]

    С помощью направленной антенны и некоторого сетевого оборудования можно получить пароль к Wi-Fi.

    ИБ-исследователь из Pen Test Partners Кен Манро (Ken Munro) провел очень интересный эксперимент, в ходе которого ему удалось взломать «умные» чайники по всему Лондону, продемонстрировав таким образом слабую защиту безопасности точек доступа Wi-Fi. В исследовании Манро использовал iKettle – серию смарт-чайников, работу которых можно контролировать дистанционно с помощью мобильных устройств.

    Эксперт заявляет, что с помощью социальной инженерии, направленной антенны и некоторого сетевого оборудования злоумышленники могут завладеть паролем от точки доступа Wi-Fi жертвы. Самое интересное, что пользователи могут управлять «умным» чайником через учетную запись в Twitter, используя обращение @wifikettle. Поэтому хакерам не составит большого труда найти в Сети владельцев iKettle.

    В случае, если iKettle не сконфигурирован, злоумышленники могут воспользоваться базой данных специального сайта wigle.net, который собирает информацию о всех беспроводных точках доступа по всему миру. Очень часто на ресурсе можно найти координаты GPS, SSID, MAC-адрес и тип шифрования точки доступа.

    «Если смарт-чайник не сконфигурирован, хакерам очень просто узнать место проживания жертвы и взломать ее устройство. Злоумышленники могут настроить вредоносную сеть с тем же SSID, только с более сильным сигналом, к которому iKettle подключится перед получением пакета дизассоциации, что и приведет к неполадкам с беспроводной сетью. Удаленный хакер может использовать направленную антенну, перехватить соединение iKettle, отправить две команды и получить доступ к ключу беспроводной сети в виде простого текста», - отметил Манро.

    Манро также добавил, что с помощью социальных сетей можно обнаружить пользователей сконфигурированных чайников, раскрыть WPA-PSK, что позволяет скомпрометировать маршрутизатор и осуществить различные типы атак, в том числе перенаправление DNS-запросов.

    Взлом «умных» чайников может стать причиной похищения персональных данных
     
    orderman, SNS-amigo и Kиpилл нравится это.
  6. Theriollaria
    Оффлайн

    Theriollaria Активный пользователь

    Сообщения:
    605
    Симпатии:
    869
    Для носков нужно встроенный keyfinder. Ходишь ко дому и свистишь. Или пусть само пищит когда носки друг от друга отдаляются дальше чем на 50 см (длину шага +/_)
     
    Kиpилл нравится это.
  7. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.227
    Симпатии:
    4.980
    Мои носки точно взломали.
    Хакеры.
    Точно,однозначно.
    Иначе как еще объяснить что они всегда без пары остаются?!
    Это вредоносный котд работает.
    Где купить антивирусь??
    Народные средства не помогают.
     
    Theriollaria и лис.хвост нравится это.
  8. Theriollaria
    Оффлайн

    Theriollaria Активный пользователь

    Сообщения:
    605
    Симпатии:
    869
    Угу. А утилиту: "наговор" пробовал? Самопал, конечно, но народу нравицо.

    PS: Приколы приколами а "умные вещи" практически не защищены от взлома. Если уж влет ломают управление автомобилем. А там, думаю, хоть чего-то защитное да было. А уж всякие "умные" лампочки, телевизоры, фритюрницы и т.д и упоминать не стоит. Идея хороша но опасностей в этом я вижу больше чем преимуществ.
     
    Kиpилл нравится это.

Поделиться этой страницей