Miele-opvaskemaskine har en usikker indbygget webserver

Intelligente hårde hvidevarer åbner for et væld af nye sikkerhedsproblemer. Tag for eksempel Mieles professionelle opvaskemaskiner.

»Skat, opvaskemaskinen er blevet hacket!«

Et ikke helt usandsynligt scenarie i en gennemsnitlig husholdning inden for de næste år, for flere hårde hvidevarer får indbygget 'smart'-funktioner, der kræver en forbindelse til internettet. Og sådan noget indebærer en risiko for sikkerhedshuller.

Som der er eksempelvis er fundet i en opvaskemaskine fra Miele, skriver The Register.

Der er ganske vist ifølge bug-anmeldelsen tale om en professionel model med indbygget funktion til desinficering, som er beregnet til virksomheder og institutioner. Men den er ikke desto mindre udstyret med et netværksstik.

Netværksstikket er ifølge Miele beregnet til eksempelvis at lade et dokumentationssystem kommunikere med opvaskemaskinen.

Men det sker ved at kommunikere med den webserver, som kører på opvaskemaskinen.

Sikkerhedshullet er netop i webserveren, som giver mulighed for at traversere filstrukturen og potentielt afsløre information, der kan føre til egentlig kompromittering.

Læs også (på ing.dk): Netforbundet laboratorieudstyr: Nej!

Angreb via lokalt netværk

Det skal understreges, at den pågældende model kun har et ethernetstik, så et angreb vil skulle ske fra det lokale netværk.

Men sagen illustrerer til gengæld nogle af de bekymringer, der er ved at gøre hårde hvidevarer til it-udstyr.

Som The Register også påpeger, så er Miele ikke en traditionel it-leverandør. Det betyder, at selskabet ikke har officielle kanaler til at indrapportere sårbarheder.

Der foreligger heller ingen umiddelbar dokumentation for, hvilke teknologier webserveren bygger på, så en kunde eventuelt selv kunne ændre konfigurationen til en mere sikker indstilling.

Og det er heller ikke klart, hvorvidt selskaber som Miele har en infrastruktur til at distribuere softwareopdateringer.

Læs også: Manglende regler om softwareopdatering gør it-produkter farlige

Lige netop denne sag er interessant, fordi der er tale om en producent, som i høj grad markedsfører sig på lang levetid for selskabets produkter. Men inden for kategorien 'smart-et eller andet' eller Internet of Things er der endnu ingen eksempler på, at leverandørerne har leveret sikkerhedsopdateringer længere end 10 år.

For de fleste forbrugerprodukter er grænsen ofte fem år, men da hårde hvidevarer forventes at have en levetid ud over 10 år, så kan man argumentere for, at der for netværksforbundne enheder burde være softwareopdateringer i hele enhedens forventede levetid.

Selv en Windows-pc til forbrugermarkedet kan modtage sikkerhedsopdateringer i op til 10 år uden en egentlig opgradering af styresystemet, som i princippet kan forlænge supporttiden yderligere.

Indtil videre har der imidlertid ikke vist sig nogen konsensus blandt producenterne af smartelektronik, hvad end det gælder tv eller vaskemaskiner, om, hvordan support af især sikkerheden skal håndteres.

Den sårbare Miele-opvaskemaskine er et eksempel på, at dem, der designer it-systemer til hårde hvidevarer, ikke nødvendigvis tænker it-sikkerhed som en del af et større økosystem - hvor det er helt afgørende at kunne håndtere en sårbarhed i form af at modtage en fejlrapport fra tredjepart, udvikle en rettelse og distribuere den.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Finn Aarup Nielsen

"Sikkerhedshullet er netop i webserveren, som giver mulighed for at traversere filstrukturen og potentielt afsløre information, der kan føre til egentlig kompromittering."

Ifølge seclist-emailen så er det ikke blot "potentielt", men rent faktisk. Man ser jo password-databasen, - ganske vist krypteret.

Michael Cederberg

Det skal understreges, at den pågældende model kun har et ethernetstik, så et angreb vil skulle ske fra det lokale netværk.

Problemet med den her tankegang er at såfremt et angreb kommer ind en anden vej, så kan en smart virus "gemme" sig i vaskemaskinen og så angribe netværket på et senere tidspunkt.

Enheder som ikke (ofte) bliver opdateret og hvor man ikke ved hvilken software der findes bruge bør netværksmæssigt adskilles fra kritiske enheder. Potentielt usikre og ikke-opdaterede enheder er dimser så som IoT, hvidevarer, TV, Bluray afspillere, kameraer, etc. Kritiske enheder er typisk computere, servere, NAS.

Dette gælder for virksomheder og private.

Log ind eller Opret konto for at kommentere