Hacka Internet of Things: från smarta bilar till toaletter

Smarta enheter är inte en så smart idé om de inte är säkra.

Internet of Things gör våra hem, vården och bilar smartare, kopplar allt till allt annat. Vem flinar inte åt tanken på smarta kylskåp, automatiserade toaletter och självkörande bilar? Hackare är det verkligen.

Tror du att ditt smarta kylskåp är säkert? Lita på din automatiserade belysning? Det kan vara dags att tänka om – samtidigt som det är värt att notera att de flesta av dessa hackningar utfördes av säkerhetsforskare, om de kan göra det, så kan brottslingar också göra det.

Eller, för den delen, hacktivister: det är en tidsfråga tills de mer lekfulla medlemmarna av Anonymous och liknande får en kick av att släcka Storbritanniens lampor eller lösa ut innehållet i ditt kylskåp.

Här är fem smarta enheter som forskare och brottslingar redan har hittat brister i – och en som inte riktigt var vad det verkade.

Lysa upp det

LIFX tillverkar anslutna glödlampor som låter dig styra din hembelysning från din smartphone och ändra dess färger; det är ett av de första företagen att arbeta med Nests utvecklarprogram. Glödlamporna ansluter via ditt hem Wi-Fi, med en ”huvudlampa” som tar emot beställningar och levererar den via ett mesh-nätverk till de andra lamporna.

Eftersom glödlampskommunikationen var okrypterad kunde säkerhetsföretaget Context se hur systemet fungerade och ta över de smarta glödlamporna, och även se viktiga detaljer om själva Wi-Fi-nätverket. Hacket tog dock mycket ansträngning och skicklighet och hade liten omedelbar fördel för en angripare.

”Att hacka sig in i glödlampan var verkligen inte trivialt men skulle vara inom förmågan hos erfarna cyberbrottslingar”, sa Michael Jordon. Produkten har sedan dess patchats.

Smarta TV-apparater

En av de första enheterna som blev ”smarta” var TV:n – så det är föga förvånande en av de första som hackades.

Columbia University-forskarna Yossef Oren och Angelos Keromytis avslöjade en sårbarhet i huvudspecifikationen för Digital Video Broadcasting-konsortiet, Hybrid Broadcast-Broadband Television (HbbTV), som används av de allra flesta smarta TV-tillverkare.

Detta man-in-the-midten-hack, kallat ”röd-knappsattacken”, kunde användas för att fånga upp data – inklusive ljud och bilder – och använda strömmen för att ta över appar som visas på TV:n, låta hackare göra inlägg på din Facebook, till exempel.

För att genomföra attacken måste hackaren vara lokal – även om forskarna säger att detta kan uppnås genom att köra en antennförsedd skåpbil in i målområdet eller flyga drönare över den.

Är det seriöst? Standardorganet tycker inte det och bryr sig inte om att lappa det. Forskarna håller inte med och säger att en hacker med rätt utrustning lätt kan täcka en kvadratkilometer med hem.

Krockande smarta bilar

Föreställ dig att du kör med i din glänsande Tesla Model S elbil, och plötsligt öppnas dörrarna, torkarna börjar gå och tutan tutar.

Det är vad studenter från Zhejiang University i Kina lyckades med och plockade ut en prispeng på 10 000 USD från ett lokalt säkerhetsföretag. Detaljer om hacket avslöjades inte, men rapporter tyder på att eleverna tog över bilen genom att knäcka lösenordet till mobilappen.

Det är inte det första smarta bilhacket: Charlie Miller och Chris Valasek tog över en Prius förra året, stoppade bromsarna från att fungera, pysslade med gasmätaren, vred på ratten, tutade och drog åt säkerhetsbältena – allt från en bärbar dator i baksätet medan en journalist kör.

Bara forskarnas fniss gör videon värd att se:

Toalettproblem

Säkerhetsföretaget Trustwave hackade en Satis-toalett, som styrs via en Android-app, vilket visar att den smarta toaletten enkelt kan tas över. Appens Bluetooth-PIN har hårdkodats till den inte särskilt säkra ”0000”.

”En angripare kan helt enkelt ladda ner ”My Satis”-applikationen och använda den för att få toaletten att spola upprepade gånger, vilket ökar vattenförbrukningen och därmed kostnaderna för dess ägare, säger Trustwaves forskare.

”Angripare kan få enheten att oväntat öppna/stänga locket, aktivera bidé- eller lufttorka funktioner, vilket orsakar obehag eller ångest för användaren”, varnade forskare.

Åh älskling, det är läskigt

Från toaletter till genuint skrämmande: i USA har det förekommit en rad incidenter där en ovanligt läskig man hackar sig in i internetanslutna babymonitorer och skriker åt barnet att vakna.

Det senaste fallet var i april i Ohio, med inriktning på en Foscam IP-kamera, som används för att hålla ett öga på barn när föräldrar är utanför rummet och ansluter via ditt eget Wi-Fi. En tidigare attack 2013 riktade sig mot samma kameramärke.

Företaget rådde användare att uppdatera sin firmware och inte lämna lösenord inställda på standardinställningar.

Spam från fridgebots

I början av året hade säkerhetsföretaget Proofpoint ett riktigt pressmeddelande: ett botnät bestående av 100 000 smarta enheter – från datorer till routrar, och TV-apparater och till och med ett kylskåp – skickade ut skadlig programvara.

Medan påståendena fick rubriker runt om i världen – ett kylskåp som skickar skräppost fångar fantasin – har rapporten sedan dess ifrågasatts. Andra säkerhetsföretaget Symantec sa att skräpposten inte skickades av IoT-enheter, utan genom att tråkiga gamla Windows-datorer på samma nätverk och delade samma IP-adress som de smarta apparaterna.

Medan det första IoT-botnätet någonsin har avslöjats, tycker Symantec fortfarande att det är ett säkerhetsproblem värt att oroa sig för.

”Medan skadlig programvara för IoT-enheter fortfarande är i sin linda, är IoT-enheter mottagliga för ett brett spektrum av säkerhetsproblem,” sa företaget i en blogginlägg. ”Så bli inte förvånad om ditt kylskåp inom en snar framtid faktiskt börjar skicka skräppost. Som med alla datorsystem, håll programvaran på IoT-enheter uppdaterad, placera dem säkert bakom en router och ändra alla standardlösenord till något säkrare.”