A Miele mosogatógépe beengedi a támadókat

Mit ér az okoseszköz, ha bárki hozzáférhet a hálózathoz? Egy professzionális mosogató- és fertőtlenítő gép esetében elméletileg sokrétű támadási forgatókönyv is elképzelhető.

Egy újabb okoseszköz bukott meg a biztonság próbáján, szerencsére jóindulatú hackerek jöttek rá a sebezhetőségre. A Miele Professional PG8528 egy mosogató- és fertőtlenítő gép, a mai trendeknek megfelelően távoli vezérléssel. Nem otthoni használatra tervezték, éttermek és egészségügyi intézmények vásárolják.

A probléma a webszerverrel van, amit a gépre telepítettek. A szoftver alapértelmezésben a 80-as porton működik, és védtelen a directory traversal (path traversal) támadások ellen. Pedig nem kéne annak lennie, a PHP-ben régóta létezik a safe_mode ennek kiküszöbölésére, a Miele fejlesztői mégsem kapcsolták be.

A hibát észlelő Jens Regel még novemberben megkereste a vállalatot, de hiába jutott el az egyik termékfejlesztési vezetőhöz, hónapokon át nem kapott megnyugtató választ. Most úgy döntött, nyilvánosságra hozza a sebezhetőséget, hátha így kénytelen lesz frissíteni szoftverét a Miele.

Egyelőre a cég semmilyen formában nem kommentálta az esetet, sőt a rést sem foltozták be. A kutató szerint ez a típusú sebezhetőség túl gyakran fordul elő az IoT eszközökkel, valamiért a gyártók nem hajlandóak tudomásul venni, hogy a biztonság hiányával elriasztják a potenciális vásárlókat, és minél több ilyen eset kerül napvilágra, annál nehezebb lesz az amúgy hasznos szolgáltatásokat is kínáló eszközöket értékesíteni.

Azóta történt

Előzmények