Tietoturva

Suomessa myytävä pistorasia kaapattavissa netistä käsin

Julkaistu: , Päivitetty:

F-Securen Harry Sintonen julkisti Disobey.fi-hakkeritapahtumassa haavoittuvuuden Uni-Elektran valmistamassa kauko-ohjattavassa pistorasiassa, joka päästää ulkopuolisen hyökkääjän kontrolloimaan sen toimintaa.
Olisiko kivaa pistää puhelimesta päälle lamppuja tai oikeastaan mitä tahansa muita pistorasiaan kytkettäviä sähkölaitteita?

Saksalainen Uni-Elektra valmistaa nimellä SilverCrest Wi-Fi-Pistorasia SWS-A1 myytävää puhelimella kauko-ohjattavaa pistorasiaa, jolla voi laittaa sähköt päälle tai pois päältä siihen kiinnitetystä laitteesta. Se täyttää tarpeen, mutta paljastui juuri turvattomaksi.

Kyberturvallisuusasiantuntija Harry Sintonen paljasti lauantaina Disobey.fi-tapahtumassa esityksessään Pwning the power sockets, että SilverCrestin rasia ottaa vastaan komentoja puhelinsovelluksen lisäksi aivan yhtä auliisti myös miltä tahansa muulta laitteelta, joka lähettää sille sopivan komennon.

Kauko-ohjattavaa rasiaa myydään muun muassa Lidl-ketjussa ja sitä on saanut ajoittain ostettua myös Suomen Lidl-myymälöistä.
MAINOS (TEKSTI JATKUU ALLA)
MAINOS PÄÄTTYY

– Mietin miksi puhelinsovelluksella pitää kirjautua pilveen, kun kerran rasiaa ei kuitenkaan voinut ohjata kuin lähiverkosta. Pilvi ei siis voinut suoraan kontrolloida rasiaa internetin yli. Päättelin, että joko pilvi ohjaa rasiaa puhelimen kautta tai puhelin todellisuudessa kontrolloi rasiaa suoraan ilman pilven apua. Jälkimmäinen osoittautui oikeaksi arvaukseksi, Sintonen kertoi esityksen jälkeen Digitodaylle.

Sintonen selvitti millaisia komentoja rasialle pitää lähettää tutkimalla puhelinsovelluksen toimintaa sen java-koodia lukemalla. Sitten hän kirjoitti työkalun laitteiden etähallintaan.

– Ohjelmani lähettää kaikkiin mahdollisiin lähiverkon osoitteisiin kyselyn laitteen statuksesta kaikilla mahdollisilla autentikointikoodeilla, joita on yhteensä 65536. Kun se osuu oikeaan koodiin, laite palauttaa statuksen, joka kertoo minulle mistä osoitteesta laite löytyy. Tämän jälkeen voin lähettää sille samalla autentikointikoodilla minkä tahansa laitteen tunnistaman komennon, Sintonen kertoo.

Sintonen esitteli löydöstään lavalla kytkemällä kannettavalla tietokoneellaan vieressä olevan lampun päälle ja sitten pois. Pistorasian sai myös silmukkaan, jossa se nopealla aikavälillä kytki sähkön päälle ja pois lampusta. Tarpeeksi nopealla vaihtelulla hyökkääjä voisi helposti rikkoa huonosti suojatun sähkölaitteen.

Sintonen näytti myös komennon, joka kytki lampun pois päältä ja sulki sen uudelleen heti, jos se kytkettiin päälle puhelimesta, sekä komennon joka samaan tapaan kytki lampun takaisin päälle, vaikka sen sammutti puhelimesta.




Mikä pahinta monet näistä laitteista näkyvät internetiin. Sintonen näytti tietoturvahakukone Shodanin paljastaneen verkosta useita pistorasioita, jotka olisivat todennäköisesti totelleet mukisematta samaa komentoa. Sintonen ei muiden laitteisiin koskenut, mutta mikään ei estä pahantahtoista hyökkääjää kirjoittamasta omaa työkaluaan ja käyttämästä sitä samaan.

Mitä sitten pitää tehdä, jos SilverCrestin rasian on ostanut ja sen käyttöön ihastunut? Välitöntä syytä huoleen ei ole, jos verkko on säädetty hyvin. Perustason kuluttajaliittymässä kodin reititin estää verkosta tulevia pyyntöjä pääsemästä kotiverkon laitteille asti. Tällaisen reitittimen takaa Shodan ei löydä laitetta, eikä se myöskään ota hyökkääjän komentoa vastaan. Sintonen ei kuitenkaan suosittele luottamaan tähän.

– Paras ratkaisu on käyttää näitä pistorasioita pelkästään niille eristetyssä langattomassa verkossa, johon liitetään vain pistorasiat ja niitä ohjaava laite, Sintonen linjaa.

Tämä onnistuu hankkimalla laitteita varten erillisen tukiaseman. Kätevämpi ratkaisu on luopua SilverCrestistä ja etsiä turvallisempia ratkaisuja muilta valmistajilta.

Harry Sintonen puhui omasta tahdostaan omalla nimellään. Muuten Disobey-tapahtumassa vallitsi anonymiteetti.

Lidl ei ollut tietoinen haavoittuvuudesta Digitodayn ottaessa kauppaketjuun yhteyttä.

– Tiedossamme ei ole, että tuotteessa SilverCrest Wi-Fi-Pistorasia SWS-A1 olisi mainitsemaasi haavoittuvuutta. Lidlin kansainvälisen oston ja laadunvalvonnan asiantuntijat selvittävät parhaillaan asiaa, kommentoi Kaisa Koivuranta Lidlin viestinnästä.

Koivurannan mukaan kaikki Lidlissä myytävät sähkölaitteet on valmistettu eurooppalaisten standardien mukaan ja ne ovat myös ulkopuolisen instituutin testaamia.

Digitoday julkaisee tiedon haavoittuvuudesta, koska se on mitä todennäköisimmin päätynyt hakkerikanavien kautta myös pahantahtoisten hakkerien tietoon. Näin pistorasian omistajat voivat halutessaan lopettaa sen käyttämisen.

Kommentit

    Näytä lisää

    Näitä luetaan!
    1. 1

      Trafi aloittaa kampanjoinnin ylihuomenna: Kärkenä dieselautoilijalle luvassa oleva 17000 euron verolasku

    2. 2

      HS: Tuomittu lastenraiskaaja iski jälleen – uhri 12-vuotias tyttö

    3. 3

      Joensuun seksuaalirikosepäilty luovutettiin Saksasta Suomeen – epäillään lapsen törkeästä hyväksikäytöstä

    4. 4

      Seksi kuoli avioliiton ja lasten myötä – ”Velvollisuudesta viisi minuuttia kerran kuussa”

    5. 5

      21-vuotias itäsuomalainen nainen parahtaa: ”Suomalaisuus on häviämässä”

    6. 6

      Tutkimus jäte­vesistä paljastaa: metamfeta­miinin määrä räjähti Suomen isoissa kaupungeissa

    7. 7

      Tv-juontajalle kävi äärimmäisen kiusallinen moka minihameessa – suora lähetys yllätti katsojat: Kuvat leviävät

    8. 8

      Näitkö tämän pizzataksin? Soita hätänumeroon!

    9. 9

      Lionel Messi myi autonsa Petteri Koposelle – futistähden viesti auton kunnosta huvitti suomalaista

    10. 10

      Olympiamitalisti Janne Happosen ura päättyi koviin kipuihin vain 30-vuotiaana – löysi elämälleen uuden suunnan

    11. Näytä lisää
    1. 1

      Tv-juontajalle kävi äärimmäisen kiusallinen moka minihameessa – suora lähetys yllätti katsojat: Kuvat leviävät

    2. 2

      Huutokauppakeisari myi 90-luvun muumimukin suurella summalla – löytyykö sinulta tämä harvinaisuus?

    3. 3

      Tältä Krista Kosonen näytti teininä – sopimattomat vaatteet huvittavat jälkeenpäin: ”90% enkeli”

    4. 4

      Näitkö tämän pizzataksin? Soita hätänumeroon!

    5. 5

      Ruotsalainen Natasha, 24, hämmästyttää äärimmäisellä muodonmuutoksellaan – vanhemmat eivät hyväksy tyttärensä kauneusleikkauksia

    6. 6

      Pitävätkö Touko Aallon kommentit turvapaikkapolitiikasta paikkansa? Viranomaiset vastaavat

    7. 7

      Tarkista tietokoneesi: Tietoturvaohjelman mukana levisi vaarallisia haittaohjelmia miljooniin Windows-koneisiin

    8. 8

      Lionel Messi myi autonsa Petteri Koposelle – futistähden viesti auton kunnosta huvitti suomalaista

    9. 9

      Tolppakamera räpsähti – syyttäjä päätti olla nostamatta syytettä auton omistajaa vastaan

    10. 10

      Suomalaismies vastusti piraattikirjettä: 600 euron maksu nousi oikeudessa yli 30 000 euroon

    11. Näytä lisää
    1. 1

      Tv-juontajalle kävi äärimmäisen kiusallinen moka minihameessa – suora lähetys yllätti katsojat: Kuvat leviävät

    2. 2

      Emma otti loukkaantuneen eläimen kiinni – ymmärsi vasta sitten: ”Herranjumala, eihän se olekaan mikään koira”

    3. 3

      Kaksi tavallista naista testasi kohutun Lidl-malliston kiinnostavimmat vaatteet – tältä ne oikeasti näyttävät

    4. 4

      Ruotsalainen Natasha, 24, hämmästyttää äärimmäisellä muodonmuutoksellaan – vanhemmat eivät hyväksy tyttärensä kauneusleikkauksia

    5. 5

      Mervi Tapola sairastui syöpään – ei voida parantaa: ”Järkytys oli hirvittävä”

    6. 6

      Jari Sillanpää kertoo nyt IS:lle tiistain tapahtumista – ”Olen todella pahoillani”

    7. 7

      Lähipiiri kertoo Sillanpään huumeidenkäytöstä: ”Jarille arki voi tuntua putoamiselta rotkoon”

    8. 8

      Entisen teinitähden tv-esiintyminen järkytti katsojia – luurangonlaiha laulaja kuin varjo entisestä: huumetesti paljasti karmivan totuuden

    9. 9

      Huutokauppakeisari myi 90-luvun muumimukin suurella summalla – löytyykö sinulta tämä harvinaisuus?

    10. 10

      Jari Sillanpään fanit järkyttyivät laulajan huume-epäilystä – rajua tilitystä Facebookissa: ”Nyt meni kuppi nurin”

    11. Näytä lisää
    Näitä luetaan!
    1. 1

      Trafi aloittaa kampanjoinnin ylihuomenna: Kärkenä dieselautoilijalle luvassa oleva 17000 euron verolasku

    2. 2

      HS: Tuomittu lastenraiskaaja iski jälleen – uhri 12-vuotias tyttö

    3. 3

      Joensuun seksuaalirikosepäilty luovutettiin Saksasta Suomeen – epäillään lapsen törkeästä hyväksikäytöstä

    4. 4

      Seksi kuoli avioliiton ja lasten myötä – ”Velvollisuudesta viisi minuuttia kerran kuussa”

    5. 5

      21-vuotias itäsuomalainen nainen parahtaa: ”Suomalaisuus on häviämässä”

    6. Näytä lisää
    1. 1

      Tv-juontajalle kävi äärimmäisen kiusallinen moka minihameessa – suora lähetys yllätti katsojat: Kuvat leviävät

    2. 2

      Huutokauppakeisari myi 90-luvun muumimukin suurella summalla – löytyykö sinulta tämä harvinaisuus?

    3. 3

      Tältä Krista Kosonen näytti teininä – sopimattomat vaatteet huvittavat jälkeenpäin: ”90% enkeli”

    4. 4

      Näitkö tämän pizzataksin? Soita hätänumeroon!

    5. 5

      Ruotsalainen Natasha, 24, hämmästyttää äärimmäisellä muodonmuutoksellaan – vanhemmat eivät hyväksy tyttärensä kauneusleikkauksia

    6. Näytä lisää
    1. 1

      Tv-juontajalle kävi äärimmäisen kiusallinen moka minihameessa – suora lähetys yllätti katsojat: Kuvat leviävät

    2. 2

      Emma otti loukkaantuneen eläimen kiinni – ymmärsi vasta sitten: ”Herranjumala, eihän se olekaan mikään koira”

    3. 3

      Kaksi tavallista naista testasi kohutun Lidl-malliston kiinnostavimmat vaatteet – tältä ne oikeasti näyttävät

    4. 4

      Ruotsalainen Natasha, 24, hämmästyttää äärimmäisellä muodonmuutoksellaan – vanhemmat eivät hyväksy tyttärensä kauneusleikkauksia

    5. 5

      Mervi Tapola sairastui syöpään – ei voida parantaa: ”Järkytys oli hirvittävä”

    6. Näytä lisää