Linux CoreOS-udvikler: Hold nallerne fra obskure Internet of Things-gadgets

En kinesisk smartphone styret switch til dine 230V-stikkontakter er hullet som en si og gør det muligt for cyberkriminelle at fjernstyre dit hjem, lyder advarslen.

Masser af kinesiske gør-det-selv Internet of Things-gadgets købt på nettet er noget bras og kompromitterer IT-sikkerheden i dit hjem.

Sådan lyder advarslen fra CoreOS-udvikleren Matthew Garrett, der ifølge The Verge har testet IoT-dimser, som han har købt hos Amazon.

Læs også: Tysk sikkerhedsekspert: Harmløse gadgets kan spionere

Blandt andet har han undersøgt syv 'intelligente' pærer og en såkaldt AuYou wifi-switch, som gør det muligt at fjernstyre ens stikkontakter.

Hans writeup, som har titlen 'Lækker hardware, ærgerlige installationsproblemer og frygtelig usikker software,' dykker ned i sikkerheden i den kinesisk-fremstillede switch, som ifølge ham (via switchen) udstiller MAC-adressen på brugernes stikkontakter.

Læs også: Peter Kruse: Open source gør patch-management i IoT til et mareridt

»Hvis nogen kender MAC-adressen på en af dine stikkontakter, kan de styre den fra hele verden,« skriver han.

»By default er [AuYou wifi Switch] stupidt usikker, og der findes rimelig måde, hvorpå man kan gøre det sikkert. Hvis du gør det sikkert, så forsvinder brugbarheden,« skriver han og tilføjer, at det kan beskyttes med en firewall, men det er urimeligt at forlange af de fleste forbrugere..

»Lad være med at købe det.«

En uge efter hans Customer Review blev offentliggjort på Amazon.com, trak AuYou produktet tilbage. Det er uklart, om det skyldes, at man ville udbedre sikkerhedshullerne, eller fordi man vil sætte enheden på markedet under et nyt navn uden den dårlige anmeldelse.

Læs også: Myriader af standarder hæmmer udviklingen af Internet of Things

For nemt at udvikle IoT-enheder

Historien handler ifølge The Verge også om, at det er alt for nemt at udvikle en internet-opkoblet enhed, men det er uhyre vanskeligt at bygge en, der er sikker.

»Hvordan skal en IoT-udvikler kunne fremstille noget, der er sikkert, når vi samtidig ser, at Google, Facebook og Yahoo lancerer store bug bounty-programmer, og andre hyrer white hat hackere for at finde sårbarheder og fejl i systemer,« spørger udgivelsen.

Forbrugerne har med andre ord ikke en chance for at vurdere den it-sikkerhedsmæssige kvalitet hos disse sidegadeproducenter.

Læs også: 25.000 ISS-drevne bygninger får installeret millioner af sensorer til internet of things

Garrett minder om, at når vi begynder at forbinde alt - ALT - til internettet, burde vi overveje sikkerhedsspørgsmålet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
David Nielsen

Vil det overhovedet gør nogen forskel om man har en professionel hardware firewall, der adskiller IoT fra WWW?

Altså: IoT device -> Firewall -> Router -> Internet

Hvis du har closed per default både indgående og udgående - og så whitelister hvad du vil tillade specifikt og til hvor.

Nogle IoT (gode) enheder kommer med sådan en beskrivelse i dokumentationen af hvad den har brug for af kommunikation udadtil/indadtil, protokoller og hvortil - som man så kan specifikt åbne op for og ikke mere.

Lige på det punkt kunne det måske være en ide med en ny IoT mini enhed som er en mini-firewall man kan sætte på alle sine IoT enheder :-) Eller et specielt wifi accesspoint (er jo nok mest wifi de IoT enheder)

  • 2
  • 0
Bent Jensen

Om det er billigt Kina skræmel eller Philips pære. Det første kan du i det mindste skifte billigt. Det sidste kan bliver lukket, fordi Philips lige fik en god ide med en ny version af FW. At man ikke kan stole på nogen enheder, heller ikke de dyre kan vi se af Lenovo skandalen, som slet ikke er startet end nu. Hvornår fyres de ansvarlig for indkøb til forsvaret og folketing, de var advaret ?

Så helle billige og mange dimser, og styr på sin FW. Ee skal slet ikke på Intenetet hvis de ikke dokumentere hvad de skal der og hvor, og alt fjernbetjening forgår via VPN. Så er den pot ude, og man kan ikke rigtigt foretage sig mere.

  • 0
  • 2
Bent Jensen

Mon der er den slags problemer med Philips Hue? De fjernet bare understøttelsen af alt andet hardware end Philips, end til de opdaget de pisse folk af. Så var det en fejl, som de rettet. Men du kan aldrig være sikkert på at dinne andre enheder virker med Philips når de ført har forsøgt noget sådan. Så hold digt helt fra dem, hvis de du ikke har invisteret i nogen. Du kan få kina clonner til 1 / 10 af prisen, men så er du, som du skriver her over ikke sikker på hvad og hvor noget styres fra, Samt kvalitet af lys kan være dårligt, eller enheden kan være direkte livsfarligt med stød eller brænd fare.

Link til artikel her på version2.

https://www.version2.dk/artikel/philips-lukker-fremmede-intelligente-lys...

  • 0
  • 0
Keld Simonsen

Man kan da bare indbygge en SW firewall i IoT-tingen, det har de fleste linux-distributioner. Og så kan producenterne af dimserne bare installere en standard FW pakke på deres dims. Grundsystemerne til IoT-dimserne bør bare have indbygget sikkerhed - i form af standard sikkerhedspakker. Det fylder ikke meget og kan vel køre på enhver lille ARM processor.

  • 0
  • 0
Log ind eller Opret konto for at kommentere