Onderzoekers infecteren smart koffiezetapparaat met ransomware
Een koffiezetapparaat dat niet meer werkt omdat het met ransomware is geïnfecteerd, onderzoekers van antivirusbedrijf Avast hebben laten zien dat dit geen sciencefiction is. De aanval is mogelijk door de onveilige updateprocedure van het koffiezetapparaat van fabrikant Smarter.
Het koffiezetapparaat is naast de normale manier ook via een app te bedienen. Wanneer de machine voor het eerst wordt aangezet creëert het een eigen wifi-netwerk waar de gebruiker via de bijbehorende app verbinding mee kan maken. Vervolgens kan de gebruiker het koffiezetapparaat zo instellen dat het verbinding maakt met zijn wifi-netwerk.
Onderzoekers van Avast ontdekten dat de firmware van het koffiezetapparaat in de app zelf aanwezig is. Wanneer de gebruiker een nieuwe versie van de app installeert kan zo ook de firmware van de machine worden geüpdatet. Door het reverse engineeren van de firmware ontdekten de onderzoekers dat de veiligheid van de updateprocedure ernstig te wensen overlaat.
Die maakt namelijk geen gebruik van encryptie of digitale handtekeningen. Daarnaast schakelt het koffiezetapparaat het eigen onbeveiligde wifi-netwerk voor de updateprocedure in. "Alles wordt in plaintext over een onbeveiligde wifi-verbinding verstuurd. De enige controle is de cyclic redundancy check (CRC) aan het einde", aldus de onderzoekers.
Een aanvaller zou zo een kwaadaardige firmware-versie kunnen maken om die vervolgens naar het koffiezetapparaat te sturen. Daarbij zijn er verschillende aanvalsvectoren, bijvoorbeeld wanneer de machine nog niet is ingesteld en zijn eigen wifi-netwerk open heeft staan. Een andere aanvalsvector is via het wifi-netwerk, bijvoorbeeld via een op afstand gecompromitteerde router. Een derde optie is het gebruik van een malafide app die zich als de machine-app voordoet.
Om te demonstreren dat een aanval mogelijk is ontwikkelden de onderzoekers een malafide firmware-versie die de machine onbruikbaar maakt door continu heet water en de koffiemolen te laten lopen. Daarnaast wordt de warmhouder ingeschakeld en verschijnt er een melding op de display die om losgeld vraagt. Het enige dat de gebruiker op dat moment kan doen is het uitschakelen van de machine, zo merken de onderzoekers op.
De fabrikant laat op de eigen website weten dat deze versie van het koffiezetapparaat niet meer wordt ondersteund. Gebruikers moeten dan ook geen beveiligingsupdate verwachten, stelt Avast. Via Wigle vonden de onderzoekers 570 koffiezetapparaten van Smarter die nog niet zijn ingesteld, wat inhoudt dat iedereen in de buurt van deze machines die via het open wifi-netwerk van het apparaat zouden kunnen aanvallen.
Is 1 knop met 'doe!' te moeilijk?
O wacht even, het gaat helemaal niet om dat koffiezetapparaat, het gaat om het publiceren van een persbericht met de naam Avast erin...
Of het niet zo smart.
Vult dat apparaat ook je water bij, verwisseld filter en vult het koffie bij.
Ik snap nog steeds niet waarom iemand zo'n apparaat zou willen hebben of wat nou het gemak hiervan is.
Of gaat het alleen om het aan en uit zetten.
Dan werkt een tijdschakelaar ook goed.
Ik ben juist dankbaar voor de koffiebreak, anders zou ik helemaal niet meer achter mijn werkplek weg komen overdag...
Kijk, voor een beginnend student elektrotechniek is het natuurlijk geinig, een schakeling en programma verzinnen dat je kan zien:
a. hoe lang geleden er koffie is gezet,
b. hoe oud die koffie inmiddels is en
c. hoeveel er nog in de kan zit
maar dan houdt het wel op... Helaas is dit het bruikbaarheids niveau van zo veel IoT. Net als het complete gebrek aan security ervan.
De naam ook... "Smarter" ... perhaps it was smarter not to buy Smarter...
Iedereen wil graag hi-tek zijn, 'slim' of 'smart' is hun eerste indruk, ook al is het dom.
Ze willen heel graag slim zijn denk ik.
van de kijkshop,hij werkte 20 jaar aan een stuk door,wellicht
hoogstens 2 x ontkalkt maar gewoon een eenvoudige koffiezetter.
Het zelfde type weer gekocht van de kringloop,hij doet het prima
Geen onzin van tegenwoordig met apparatuur dat voor jou denkt,geen
smart/slim of slimmer,en ook geen hacks
De goede analoge tijd
Ik gebruik al sinds 1980 een digitaal koffiezetapparaat. (Heeft alleen een aan-uit stand).
Analoog lijkt me veel complexer. Hoezo is analoog nodig? Variabel verwarmingselement?
O wacht even, het gaat helemaal niet om dat koffiezetapparaat, het gaat om het publiceren van een persbericht met de naam Avast erin...
Je kunt er donder op zeggen dat als ze een betalende klant hadden voor een pentest/audit , de staff echt geen koffiemachines zat te reverse engineeren.
Dus ja - waarschijnlijk hadden ze (iig voor deze researcher) op dat moment inderdaad niks beters te doen.
Of het is een stagiair/afstudeerder/junior , die ze een leuke opdracht gegeven hebben : het _is_ een goede oefening, het is een aardig verslag, en het pimpt de naam Avast in de (security) media .
Ik gebruik al sinds 1980 een digitaal koffiezetapparaat. (Heeft alleen een aan-uit stand).
Analoog lijkt me veel complexer. Hoezo is analoog nodig? Variabel verwarmingselement?
Analoog is ook niet nodig alleen als je geen gezeur wilt over (geen updates meer,niet meer veilig hacken etc)
indirect op jou wifi kunnen komen.
digitaal heden: smart = dus niet slim genoeg
infecteren smart koffiezetapparaat met ransomware
Ik gebruik al sinds 1980 een digitaal koffiezetapparaat. (Heeft alleen een aan-uit stand).
Analoog lijkt me veel complexer. Hoezo is analoog nodig? Variabel verwarmingselement?
Dat zeg je cynisch maar een goede koffiemaker heeft inderdaad een variabele boiler tempratuur, de tempratuur van het water bepaald de smaak van de koffie.
Wel een leuk projectje om te doen en het is te hopen dat je incident responders op een normale koffiemachine kunnen terug vallen. Anders gaat het werk ergggg langzaam.
Inderdaad. Way way back - 'finger' interface naar de cola machine bij Carnegie-Mellon University.
https://knowyourmeme.com/memes/internet-coke-machine
Was een tijd dat je zonder gène kon zeggen ' ik heb je even gefingerd '
https://en.wikipedia.org/wiki/Finger_protocol
De controller is kleiner en goedkoper geworden , maar verder ...
Ik gebruik al sinds 1980 een digitaal koffiezetapparaat. (Heeft alleen een aan-uit stand).
Analoog lijkt me veel complexer. Hoezo is analoog nodig? Variabel verwarmingselement?
Mijn ouders hebben al 33 jaar een volkstuin en omdat ze geen elektriciteit in het huisje hebben, zetten ze koffie door gekookt water op te gieten. Sinds kort hebben ze zonnepanelen, maar die zijn niet voor koffiezetten bedoeld. Een fornuis dat op een gastank werkt, is wel sinds het begin aanwezig.
Ik gebruik al sinds 1980 een digitaal koffiezetapparaat. (Heeft alleen een aan-uit stand).
Analoog lijkt me veel complexer. Hoezo is analoog nodig? Variabel verwarmingselement?
Mijn ouders hebben al 33 jaar een volkstuin en omdat ze geen elektriciteit in het huisje hebben, zetten ze koffie door gekookt water op te gieten. Sinds kort hebben ze zonnepanelen, maar die zijn niet voor koffiezetten bedoeld. Een fornuis dat op een gastank werkt, is wel sinds het begin aanwezig.
Waarvoor zijn die zonnepanelen dan wel bedoeld? Kan me niet voorstellen dat je veel stroom nodig hebt op een volkstuin. Misschien voor een waterpomp? LEDlampen voor extra licht voor de planten? Stroom voor de ventilator? Koken op gas is niet echt milieuvriendelik.
Of het niet zo smart.
Vult dat apparaat ook je water bij, verwisseld filter en vult het koffie bij.
Ik snap nog steeds niet waarom iemand zo'n apparaat zou willen hebben of wat nou het gemak hiervan is.
Of gaat het alleen om het aan en uit zetten.
Dan werkt een tijdschakelaar ook goed.
Smart wordt het wanneer systemen zo werken dat je zelf geen handelingen hoeft te doen en dat het systeem toch anticipeert op jouw gedrag/behoefte. Op Youtube staat een mooi filmpje van Femme Taken (oprichter Tweakers) met als titel "het slimste huis van de achterhoek". Hij legt heel goed uit wanneer iets 'Smart' is.
Ik gebruik al sinds 1980 een digitaal koffiezetapparaat. (Heeft alleen een aan-uit stand).
Analoog lijkt me veel complexer. Hoezo is analoog nodig? Variabel verwarmingselement?
Mijn ouders hebben al 33 jaar een volkstuin en omdat ze geen elektriciteit in het huisje hebben, zetten ze koffie door gekookt water op te gieten. Sinds kort hebben ze zonnepanelen, maar die zijn niet voor koffiezetten bedoeld. Een fornuis dat op een gastank werkt, is wel sinds het begin aanwezig.
Waarvoor zijn die zonnepanelen dan wel bedoeld? Kan me niet voorstellen dat je veel stroom nodig hebt op een volkstuin. Misschien voor een waterpomp? LEDlampen voor extra licht voor de planten? Stroom voor de ventilator? Koken op gas is niet echt milieuvriendelik.
Niks mis met gas, en helemaal niet om te koken.
Waar ik op een volkstuin aan zou denken qua stroom is het kunenn opladen van mobieltjes en verlichting (van het tuinhuisje) - gas_lampen_ zijn voor het _binnen_milieu minder geweldig.
Koelkastje .
En eventueel tuingereedschap - heggeschaar of dat soort dingen.
Koffiezetten in een oude sok ? Uuuuh. Ok, whatever floats your boat
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.