Half gebakken Iot-kachel kan worden gebruikt als een externe managed brandson gadget
[pen-testpartners] hebben enkele echt angstaanjagende kwetsbaarheden ontdekt in AGA variëteit fornuizen. Ze zijn gekoppeld door SMS waarmee een mobiele app een niet-geautoriseerde SMS naar de AGA verzendt om IT-opdrachten te verstrekken, bijvoorbeeld voorverwarmen de oven, u kunt eveneens uw AGA vertellen om het bijeen te draaien.
Het probleem is met de webinterface; Het stelt een aanvaller in staat om te inspecteren als de mobiele telefoon van een gebruiker al is geregistreerd, waardoor een traag is, maar ook een efficiënte enumatieaanval. Zodra de aanvaller een geregistreerd apparaat ontdekt, is alles wat ze moeten doen, een sms-bericht verzenden, omdat berichten niet door het fornuis worden geauthenticeerd, ook de SIM-kaart is zo veel ingesteld als verzending van de berichten die worden gevalideerd indien geregistreerd.
Dit is nogal verontrustend, wat als iemand een theedoek op de kookplaat of een ander ontvlambaar materiaal verliet voordat hij naar het werk ging, alleen om terug te komen naar een stapel Ashes? Dit is tenslotte een Six-Gazillion BTU-fornuis en de oven. Het lijkt gewoon dat we veel meer gekoppeld zijn in dit digitale tijd dat we veel meer vatbaar zijn voor aanvallen, het bedrijf lijken ook een hectisch om hun producten uit de deur te duwen om eenvoudige veiligheids- en beveiligingscontroles te doen.
Voordat u de kwetsbaarheid onthult, probeerde [Pen-testpartners] in contact te komen met AGA met Twitter en uiteindelijk is geblokkeerd. Ze belden rond proberen om in contact te komen met iemand die zelfs begreep wat IoT of veiligheid en veiligheid betekende. Dit duurde lang geleden dat ze afleverden om met iemand te komen van de technische ondersteuning. Hopelijk zal AGA binnenkort een aantal updates uitrollen. De terughoudendheid van het bedrijf om iets te doen aan dit veiligheids- en beveiligingsprobleem benadrukt precies hoe soms de openbaarmaking niet genoeg is.
[Via Pen-testpartners]