Experte
10
Aug
2016
2016
von Marc-David Militz
Forum: Allgemeines
Wer die IT Nachrichten der letzen Monate auch nur überflogen hat, solle mitbekommen haben das IoT-Devices quasi täglich in Massen gehackt werden. Bankautomaten, Autos, Hotel-Steureungen, Kraftwerke, Router, zuletzt auch Oracle´s Kassensysteme - es gibt nichts was noch nicht gehackt wurde!
Die beiden Sicherheitsforscher Andrew Tierney und Ken Munro haben nun auf der DefCon gezeigt, wie sie ein smartes Thermostat übernehmen und den Besitzer erpressen können. Auf diese Weise können Angreifer z.B. im Winter die Heizung abstellen bis der Wohnungsbesitzer zahlt.
Tierney erklärt: "Wir wollten die Aufmerksamkeit auf die armseligen Sicherheitsstandards in vielen IoT-Hausgeräten hinweisen. Einfache Sicherheitsvorkehrungen hätten diesen Hack verhindert, es gab nur keine."
In dem Gerät befand sich sich ein ARM-Chip, ein Linux System, ein WLAN-Modul und ein SD-Kartenslot. Über die SD-Karte kann man einen individuellen Bildschirmschoner auf das Gerät laden, oder eben Ransonmware. Auf ihrem Blog haben die beiden genau erklärt, wie sie mit wenigen Schritten die Kontrolle übers das Gerät übernhmen konnten https://www.pentestpartners.com/blog/thermostat-ransomware-a-lesson-in-iot-security/
Um den Besitzer aus dem Gerät auszusperren reichte ein Bildschirmschoner, mit der Erpressungsnachricht und ein PIN. Neben der Kontrolle über die Temperatur konnte der interne Buzzer des Gerätes so manipuliert werden dass fortwährend unangenehme Geräusche erzeigt wurden.
Das Fazit der beiden Hacker: "Nichts davon sollte möglich sein." Und die Nachricht an alle Hersteller von IoT Geräten, endlich auch an die Sicherheitsaspekte zu denken!
Es gibt eine Antwort