Checkmarx löysi pahoja haavoittuvuuksia Trifo Ironpie M6 -pölynimurista - Tietoturva - Ilta-Sanomat

Tätä odotettiin, nyt se tapahtui: Pölynimurista tuli vakoiluväline – myynnissä myös Suomessa

Trifo Ironpie M6 -pölynimuri on kaapattavissa verkon kautta ja sitä voi käyttää kotien salakuvaukseen.

Julkaistu: 27.2. 16:00

Nyt myös pölynimurin kamera kaipaa teippiä. Tosin samalla laitteen myyntivaltti saa kenkää.

Esineiden internet on vaaroja pullollaan, ja valmistajilta on odotettu vastuullisuutta jo vuosia. Älypölynimurivalmistaja Trifo todistaa, että odottavan aika on pitkä. Cnet lainaa tietoturvayhtiö Checkmarxin raporttia, jonka mukaan Trifo Ironpie M6 -pölynimurissa on pahoja tietoturvapuutteita.

Myös Suomessa saatavilla oleva imuri käsittää videokameran, jonka tarkoitus on tehdä siivousvimpaimesta myös liikkuva turvakamera. Checkmarx osoittaa videolla, kuinka etäältä iskevä hyökkääjä voi päästä katsomaan kameran videota hyökkäämällä Trifon palvelimiin.

Yhtiön mukaan hyökkääjän on mahdollista päästä katsomaan kaikkien nettiin kytkettyjen ja toiminnassa olevien Trifo-imurien videokuvaa. Jos imuri on toimistossa, Checkmarx näkee uhkana yrityssalaisuuksien varastamisen. Kodeissa uhkat ovat moninaiset. On tuskin liian kaukaa haettua, että vaikkapa alastomien tai seksiä harrastavien ihmisten kuvaaminen voi johtaa heidän kiristämiseensä videoiden julkaisulla.

Tällaisesta uhkasta tavallisten nettikameroiden kohdalla varoitti myös suomalaisasiantuntija äskettäin.

Vakoilulta voi suojautua kannettavista tietokoneista tutulla kikalla, eli liimaamalla pala maalarinteippiä kameran eteen. Toinen vaihtoehto on kytkeä imurin wifi-yhteys pois päältä, mutta molemmat ratkaisut rajoittavat tuotteen toimintaa. Valmistaja ei ole toistaiseksi korjannut ongelmaa.

Samasta tuotteesta ja sen Android-sovelluksesta paljastui myös muita haavoittuvuuksia, jotka muun muassa mahdollistavat väärien ohjelmistopäivitysten lähettämisen sovellukseen haittaohjelmien asentamista varten tai imurin komentamisen samasta wifi-verkosta käsin. Imurin verkkoon lähettämä tieto kulkee myös salaamatta.

Koska valmistaja ei ole korjannut ongelmia, Checkmarx pitää niiden yksityiskohdat omana tietonaan. Ei siis ole täysin selvää, millaista osaamista aukkojen väärinkäyttäminen edellyttää. Checkmarx kuitenkin kuvaili videokuvaan pääsyä helpoksi.

Osion tuoreimmat

Luitko jo nämä?