Tietoturva

Agan uunit, jotka käyttävät iTotal Control -järjestelmää, paljastuivat haavoittuviksi hyökkäykselle tietoturvayhtiö Pen Test Partnersin testissä.Tutkijan blogikirjoituksen https://www.pentestpartners.com/blog/iot-aga-cast-iron-security-flaw/ ja BBC http://www.bbc.com/news/technology-39580507 :n mukaan ongelmana on sovellus, jota käytetään uunien hallitsemiseen matkapuhelimen kautta. Uunit on mahdollista sammuttaa tai kytkeä päälle ilman lupaa.Ongelma ei aiheuta vaaraa, mutta on omiaan esimerkiksi kasvattamaan uhrin sähkölaskua. Tietoturva-aukkoja on monia. Yksi niistä koskee uunin vastaanottamia tekstiviestejä, joita ei varmenneta mitenkään. Viestien lähettämiseen käytettyä sim-korttia ei myöskään validoida rekisteröinnin yhteydessä.Lisäksi käyttäjältä rekisteröityessä vaadittava salasana saa olla vain viiden merkin pituinen, mitä pidetään aivan liian lyhyenä kestävän tietoturvan kannalta. Järjestelmä myös käsittelee käyttäjän sähköpostiosoitteen selväkielisenä altistaen sen väärinkäytöksille.Ongelma koskee vain Agan uusinta Total Control -uunia, johon on vielä ostettu lisämaksullinen etähallinta. Mutta Agan tapa puuttua asiaan jättää paljon parantamisen varaa.Pen Test Partnersin tutkijan mukaan Aga ei ensin reagoinut lainkaan yhteydenottoihin, mutta myöhemmin jopa blokkasi hänet Twitterissä. Myös ystävällisiä keskusteluja käytiin, mutta ne eivät ole toistaiseksi johtaneet näkyviin tuloksiin.BBC:lle Aga kertoi, että puhelinsovelluksen hallinta on kolmannen osapuolen käsissä. Esiin tuodut ongelmat on Agan mukaan tehty selviksi palveluntarjoajalle.Agan uuni liittyy suureen joukkoon esineiden internetin vempaimia, joiden tietoturva on kyseenalainen. Aiemmin tänä vuonna on ihmetelty esimerkiksi wifi-dildoa http://www.is.fi/digitoday/tietoturva/art-2000005157275.html ja puhetta tallentavaa nallea http://www.is.fi/digitoday/tietoturva/art-2000005107086.html