Программист из Чехии взломал кофеварку

чукотские хакеры взломали счёты..

Думается что основное правило которое здесь поможет: Меняйте дефальтные пароли.

Почему-то новость напомнила старую шутку о том, как молдавские хакеры взломали счёты.
Нахрена?

Цитата (XeneX @ 27.09.2020 - 21:23)

Имею несколько устройств от Apple Home, от R4Sky (Redmond), от Xiaomi, и еще обогреватель от Делонги. Умные... Но пока не будет единой эко-системы, это настоящий геморрой. А, да-да, мне похуй, я чайнику не буду 250 евро отдавать. Мне гораздо дешевле Reset сзади нажать.

Аналогичная сборная солянка из тех же производителей, по сути бесполезная фигня, наигрался скажем так и забыл. Делал все через голосовое управление Яндекс-станции, пришлось докупать кучу центров управления и тд, сейчас могу сказать с уверенностью , что наверное и 10% потенциала этого умного дома не использую, максимум это «Алиса, включи чайник/телевизор/кондиционер/свет»....

Размещено через приложение ЯПлакалъ

Она на Бейсике прописана чтоль?

Может ли хакер запрограммировать кофеварку так, чтобы она ночью включила встроенный тэн ( или то чем она нагревает воду) , воспламенилась и сожгла дом?

Размещено через приложение ЯПлакалъ

Цитата

В Чехии программист взломал кофеварку

и совокупился с ней извращённым способом.

Не ну че.

Разобрал корпус, а там на плате JTAG, например. Прошивка камня в .DEBUG билде. Ну приатачился дебагером, помалеху раскукожил.

И показал всем, что ваш любимый смарт унитаз легко может быть взломан притаившимся за смывным бачком хацкером с ноутбуком, паяльником, отверткой и пучком проводов в кармане.

Вот когда он черз Ви-Фи это сделает - вот это ништяк, можно будет в восстание машин играться.

UPD: Шутка отменяется. Он ее через незащищенный Вифи сломал.

Это сообщение отредактировал SashKaRat - 27 сен. 2020 г. в 22:03

Размещено через приложение ЯПлакалъ

пиздешь чистой воды
сча он однократно прошиваемый контроллер взломает верю!
тупо к экрану по протоколу подцепился ,а не взломал

Цитата (RVstrax @ 27.09.2020 - 22:25)

пиздешь чистой воды сча он однократно прошиваемый контроллер взломает верю! тупо к экрану по протоколу подцепился ,а не взломал

Увы, нет.

Конкретно в этом случае, кофе-машинка имела на борту Вифи сервер, с настройками по-дефолту .. и дырявым оказался сервис удаленного обновления фирмвары, собственно через него ей прошивку сменили.

Есть еще одно видео - там парнишка перехватывал трафик, насколько я понял - кофе-машинка общалась по веб, с использованием нешифрованных JSON объектов.

Цитата (SashKaRat @ 27.09.2020 - 22:31)

Цитата (RVstrax @ 27.09.2020 - 22:25) пиздешь чистой воды сча он однократно прошиваемый контроллер взломает верю! тупо к экрану по протоколу подцепился ,а не взломал Увы, нет. Конкретно в этом случае, кофе-машинка имела на борту Вифи сервер, с настройками по-дефолту .. и дырявым оказался сервис удаленного обновления фирмвары, собственно через него ей прошивку сменили. Есть еще одно видео - там парнишка перехватывал трафик, насколько я понял - кофе-машинка общалась по веб, с использованием нешифрованных JSON объектов.

ну это не взлом как таковой ))
Тупо уязвимость софта и познания устройства микроконтроллеров и его программирования

а так микроконтроллер взломать проблематично ,в реале невозможно закрыв доступ к ... использовав простые методы защиты софта и микрокода не получить доступ к исполнению .Просто текстовая часть изменена (вывод на экран) используя часть памяти (незакрытой производителем)

по простому записал текстовую часть к которой обращается контроллер с выводом на экран .Саму прошивку он не сможет изменить и считать

Проще самому прописать код и перенастроить софт !чем ломать контроллер что он подит и сделал

Это сообщение отредактировал RVstrax - 27 сен. 2020 г. в 22:50

Цитата (tirlan @ 27.09.2020 - 20:21)

Страшно представить восстание умных унитазов.

за яйца, как коллектор или братки из 90х прихватит и заплатишь...( а может и дерьмом хату залить если хозяина нет на месте, как предупреждение) ... или телепортнуть 45 см соседа, пока будет заложника за яйцы держать, причем не одного, нескольких соседей...

Это сообщение отредактировал AONMASTER - 27 сен. 2020 г. в 22:52

Цитата (RVstrax @ 27.09.2020 - 22:45)

Цитата (SashKaRat @ 27.09.2020 - 22:31) Цитата (RVstrax @ 27.09.2020 - 22:25) пиздешь чистой воды сча он однократно прошиваемый контроллер взломает верю! тупо к экрану по протоколу подцепился ,а не взломал Увы, нет. Конкретно в этом случае, кофе-машинка имела на борту Вифи сервер, с настройками по-дефолту .. и дырявым оказался сервис удаленного обновления фирмвары, собственно через него ей прошивку сменили. Есть еще одно видео - там парнишка перехватывал трафик, насколько я понял - кофе-машинка общалась по веб, с использованием нешифрованных JSON объектов. ну это не взлом как таковой )) Тупо уязвимость софта и познания устройства микроконтроллеров и его программирования а так микроконтроллер взломать проблематично ,в реале невозможно закрыв доступ к ... использовав простые методы защиты софта и микрокода не получить доступ к исполнению .Просто текстовая часть изменена (вывод на экран) используя часть памяти (незакрытой производителем) по простому записал текстовую часть к которой обращается контроллер с выводом на экран .Саму прошивку он не сможет изменить и считать Проще самому прописать код и перенастроить софт !чем ломать контроллер что он подит и сделал

Подозреваю авторы прошивки кофе-машины сильно экономили на разработке.
Есть интервью - хацкер утверждает, что за ночь по вайфаю поламал.

Одно устройство, с которым я имел дело по линии реверс-инжиниринга, имело привычку при первом подключении собственному драйверу скидывать описание своих регистров, команд и параметров в формате xml, да еще с комментариями разработчиков. Ну вы поняли, да?

Машинка могла внутри иметь пачку управляющих скриптов на типа JS. И ребенок сломает - главное добраться до флешки.

Это сообщение отредактировал SashKaRat - 27 сен. 2020 г. в 23:26

Цитата (RVstrax @ 27.09.2020 - 22:45)

Цитата (SashKaRat @ 27.09.2020 - 22:31) Цитата (RVstrax @ 27.09.2020 - 22:25) пиздешь чистой воды сча он однократно прошиваемый контроллер взломает верю! тупо к экрану по протоколу подцепился ,а не взломал Увы, нет. Конкретно в этом случае, кофе-машинка имела на борту Вифи сервер, с настройками по-дефолту .. и дырявым оказался сервис удаленного обновления фирмвары, собственно через него ей прошивку сменили. Есть еще одно видео - там парнишка перехватывал трафик, насколько я понял - кофе-машинка общалась по веб, с использованием нешифрованных JSON объектов. ну это не взлом как таковой )) Тупо уязвимость софта и познания устройства микроконтроллеров и его программирования а так микроконтроллер взломать проблематично ,в реале невозможно закрыв доступ к ... использовав простые методы защиты софта и микрокода не получить доступ к исполнению .Просто текстовая часть изменена (вывод на экран) используя часть памяти (незакрытой производителем) по простому записал текстовую часть к которой обращается контроллер с выводом на экран .Саму прошивку он не сможет изменить и считать Проще самому прописать код и перенастроить софт !чем ломать контроллер что он подит и сделал

Имея физический доступ к микроконтроллеру - уверяю тебя, нету таких контроллеров, из которых нельзя извлечь код. Существует множество приёмов, как неинвазивные, основанные на косяках ядра, так и инвазивные.

Например, знаменитый неинвазивный метод джейлбрейка Плейстейшина - подача короткого импульса reset (недостаточно длительного чтобы ядро обнулилось полностью), что позволяло запустить свой код вместо оригинального. Это косяк ядра, который в последующих версиях закрыли.

Но если ядро сделано хорошо, то есть методы пожёстче - например, стачивание слоя пластика до тех пор пока не обнажится кристалл, а потом подключение микрощупами к точкам входа в самом кристалле, которые были недоступны для подключения извне.

Конечно, такое оборудование доступно далеко не каждому. Но взломать и скачать можно ЛЮБОЙ контроллер, вопрос лишь финансирования.

В данном же случае, имел место взлом именно через уязвимость протокола. То есть полный позор и зашквар разработчиков.

"программист" на питоне взломал? уже смешно :)

Или по среди ночи рекламу врубит, ну или плати за подписку No Ads

Размещено через приложение ЯПлакалъ

Цитата (Artemuu @ 27.09.2020 - 19:22)

Отключить его от интернета и сбросить до заводских установок))))

НУ все просто кул хацкеры.... А кто знает - какая там ПЗУшка стоит - если перепрограммируемая - ничего не поможет, чайник или перепрошивать или новый покупать...

Цитата (XeneX @ 27.09.2020 - 21:23)

Имею несколько устройств от Apple Home, от R4Sky (Redmond), от Xiaomi, и еще обогреватель от Делонги. Умные... Но пока не будет единой эко-системы, это настоящий геморрой. А, да-да, мне похуй, я чайнику не буду 250 евро отдавать. Мне гораздо дешевле Reset сзади нажать.

А ежели это действие весь "умный дом" отправит в гибернацию - как тогда?

Цитата (JBM @ 27.09.2020 - 21:44)

В данном же случае, имел место взлом именно через уязвимость протокола. То есть полный позор и зашквар разработчиков.

я сомневаюсь, что кроме разработчиков протоколов знает все особенности. И никто не пишет, что использовал и какие ресурсы были применены для взлома. Может парень из НАСА и использовал ресурсы насовских серверов для взлома, в свободное от работы время

Ебать, демон!

Цитата (tirlan @ 27.09.2020 - 20:21)

Страшно представить восстание умных унитазов.

восстание японских роботобаб представить попробуй ))

Цитата (XeneX @ 27.09.2020 - 21:23)

Имею несколько устройств от Apple Home, от R4Sky (Redmond), от Xiaomi, и еще обогреватель от Делонги. Умные... Но пока не будет единой эко-системы, это настоящий геморрой. А, да-да, мне похуй, я чайнику не буду 250 евро отдавать. Мне гораздо дешевле Reset сзади нажать.

Если он его один раз хакнул, то и после ресета снова хакнет.

С ростом популярности интернета вещей специалисты по кибербезопасности всё чаще напоминают пользователям о зачастую неочевидных уязвимостях смарт-устройств. Чтобы продемонстрировать потенциальные «дыры» в экосистемах умного дома, сотрудник Avast за пару минут взломал кофеварку с Wi-Fi. В результате энтузиаст не только сумел запустить на ней майнинг криптовалюты Monero, но и парализовал работу прибора с требованием выкупа.

Комментируя опубликованный видеоролик, IT-специалист Мартин Хрон отметил, что прибор построен на базе популярных микроконтроллеров, информации о которых в сети предостаточно. Учитывая, что кофеварка запускает не использует шифрование при установке беспроводного соединения, программист перехватил её прошивку во время обновления, немного модифицировал и загрузил на устройство.
После запуска прибор не только «взбунтовался», бесконтрольно разливая кипяток, но и стал непрерывно выводить на дисплей требование перевода денег по указанной ссылке для возобновления нормальной работы. Кроме того, Мартин запустил на устройстве процедуру добычи криптовалюты Monero — впрочем, учитывая крайне низкую производительность встроенного микроконтроллера, сделано это было исключительно в познавательных целях.

По словам программиста, своими действиями он хотел обратить внимание производителей на необходимость заботиться о безопасности выпускаемых умных устройств, поскольку для взлома многих из них хакерам достаточно базовых знаний алгоритмов работы электроники.
https://www.slashgear.com/coffee-maker-rans...ening-27640105/