Samsungs intelligente køleskab kan bruges til at stjæle Gmail-login

Illustration: Virrage Images/Bigstock
Ved at gå gennem det internetopkoblede køleskab kan man tiltuske sig adgang til tilknyttet mail-konto, mener eksperter.

Login-informationerne til Gmail kan snuppes ved at udnytte en svaghed i Samsungs intelligente køleskab, mener sikkerhedseksperter efter at have kulegravet appen, der skal styre det intelligente hjem.

Det skriver The Register.

Køleskabet er designet til at overføre information til og fra Gmail-kalenderen. Men på grund af en sikkerhedssvaghed kan eventuelle hackere, som får adgang til netværket, opsnappe kommunikationen.

Læs også: Kommentar: Bilhacking varsler ilde for Internet of Things

Køleskabet bruger SSL-protokol, men formår ifølge sikkerhedseksperterne ikke at validere SSL-certifikatet. Det gør systemet sårbart over for et Man-In-The-Middle-angreb.

’Så ved at udføre et Man-In-The-Middle-angreb på offerets køleskab fra nabobygningen eller fra vejen kan du potentielt stjæle deres Google-legitimationsoplysninger,’ lyder det i en blog om opdagelsen.

Læs også: Så nemt er det at hacke et smart-tv via gennemhullet NAS-boks

Ekspertholdet fra Pen Test Partners opdagede svagheden ved den seneste DEF CON, hvor de for første gang fik adgang til køleskabet, der endnu ikke sælges i Europa. Holdet forsøgte at spoofe en firmware-opdatering, før de opdagede svagheden i appen.

Samsungs intelligente elektronik har tidligere været i søgelyset for manglende sikkerhed. I februar kom det frem, at selskabets Smart TV optager stemmerog sender dem ukrypteret over internettet.

Læs også: Samsung advarer mod fortrolig tale foran sine nye tv-apparater

Samsung har oplyst til The Register, at de vil se på sagen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
Niels Dybdahl

Det er alt for nemt at blive "phishet" på anden måde og så er der "bad guys" som har ens adgangskode.
Så man bør have 2-faktor autentificering på vigtige konti, f.eks ens email. Og så sker der ikke så meget ved at nogen stjæler ens GMail-password.
Men det er alligevel noget sjusk af Samsung. "Internet of Things" ser ud til at blive den helt store katastrofe.

Kenneth Mejnert

Det kræver jo, at 2-faktor autentifikation understøttes. Der er desværre mange klienter, som fx ikke understøtter googles 2-faktor, dvs, så er man nødt til at bruge et applikationsspecifikt password.... og så man jo igen ilde stedt, hvis der ikke laves noget så banalt som at validere certifikatet ordentligt (hvilket jo desværre også er meget udbredt. Læs fx "The most dangerous code in the world: validating SSL certificates in non-browser software")

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017