• IT-Karriere:
  • Services:

Erpressomaschine: Wenn die Kaffeemaschine Lösegeld verlangt

Sie piept, versprüht heißes Wasser und fordert Lösegeld: Ein Forscher konnte seine smarte Kaffeemaschine zu einer Erpressermaschine machen.

Artikel veröffentlicht am ,
Ransomware auf dem Coffee Maker von Smarter
Ransomware auf dem Coffee Maker von Smarter (Bild: Avast/Screenshot: Golem.de)

Eigentlich wollte der Sicherheitsforscher Martin Hron von Avast nur beweisen, dass er mit seiner smarten Kaffeemaschine Kryptowährungen schürfen kann - doch bei einer Geschwindigkeit von 8 MHz erschien das wenig sinnvoll. Stattdessen übernahm er die komplette Kaffeemaschine und blendete eine Lösegeldforderung auf dem Display ein. Dem Betroffenen blieb nur noch eines: den Stecker der Kaffeemaschine ziehen. Zuerst hatte das Onlinemagazin Ars Technica berichtet.

Stellenmarkt
  1. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  2. Haufe Group, Freiburg im Breisgau

Mit seiner Analyse des Coffee Maker des Herstellers Smarter in Version 1 will Hron auch auf ein Problem smarter Haushaltsgeräte hinweisen: IoT-Geräte haben eine viel kürzere Nutzungsdauer als vergleichbare Haushaltsgeräte. Die normale Nutzungsdauer eines Kühlschranks betrage beispielsweise 17 Jahre, ein Zeitraum, in dem IoT-Geräte üblicherweise nicht mit Sicherheitsupdates versorgt werden. So auch die Kaffeemaschine von Hron, die vor rund zwei Jahren durch ein neueres Modell ersetzt wurde.

Hron analysierte die App, API und Firmware der Kaffeemaschine und konnte nach kurzer Zeit Befehle von seinem Computer an die Kaffeemaschine senden. Einzige Voraussetzung für das Aufbrühen eines Kaffees: Er musste sich im selben WLAN wie die Kaffeemaschine befinden. Verschlüsselung oder Authentifizierung? Fehlanzeige! Eine Liste der Befehle hat Hron auf Github veröffentlicht.

Modifizierte Firmware fordert Lösegeld

Mit einem solchen Befehl kann die Kaffeemaschine auch in den Update-Modus versetzt werden, bei neueren Firmwareversionen musste das Einspielen des Updates jedoch durch einen Tastendruck am Gerät erlaubt werden. Auch hier gab es weder eine Authentifizierung noch eine verschlüsselte Verbindung oder die Überprüfung einer Firmware-Signatur.

Hron ergänzte die Firmware durch eine Ransomware, die die Kaffeemaschine unbenutzbar macht: Auf dem Display erscheint eine Lösgeldforderung, während das Heizbett dauerhaft erhitzt und aufgebrühtes Wasser ausgegeben wird. Zudem wird die Kaffeemühle immer wieder angeschmissen und ein Piepton ertönt. Dem Nutzer bleibe nur noch, den Stecker zu ziehen, erklärte Hron.

Wie kommt die modifizierte Firmware auf das Gerät?

In einem Blogeintrag spielt Hron mehrere Möglichkeiten durch, wie eine modifizierte Firmware von außen auf die Kaffeemaschine gespielt werden könne. Ein solcher sei auch aus der Ferne möglich, wenn beispielsweise der Router gehackt wurde und so Zugriff auf das lokale Netzwerk bestehe, erklärt Hron. Allerdings muss die Person, der die Kaffeemaschine gehört, je nach Firmware-Version mittels Social Engineering zum Tastendruck an der Kaffeemaschine gebracht werden, damit die Firmware eingespielt werden kann.

Befindet sich die angreifende Person in der physischen Nähe der Kaffeemaschine, könne diese mit einem Deauth-Befehl aus dem WLAN entfernt werden. Interessanterweise versuche die Kaffeemaschine nicht, sich einfach neu zu verbinden, sondern spanne ein ungeschütztes Wi-Fi zur Konfiguration des Gerätes auf. Stelle der Eindringling eine Verbindung mit dem ungeschützten Wi-Fi her, könne ein Firmware-Update eingespielt werden, ohne dass eine Bestätigungstaste gedrückt werden müsse, erklärt Hron.

Ende vergangenen Jahres konnte eine Forscherin smarte Futterstationen von Xiaomi übernehmen und fernsteuern. Erst kürzlich haben Sicherheitsforscher aus Österreich eine Sicherheitslücke in einer Küchenmaschine mit WLAN-Funktion entdeckt, die sie in WLAN-Reichweite übernehmen und fernsteuern konnten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

ufo70 30. Sep 2020 / Themenstart

Dann eben eine Kamera, die Produkte müssen dann aber so ausgerichtet sein, dass diese sie...

ufo70 30. Sep 2020 / Themenstart

XD Scheiße, die ersten paar Sekunden dachte ich wirklich, es wäre real. ;)

jo-1 29. Sep 2020 / Themenstart

Ausser die haben einen gut ausgebildeten Barista - das setzte ich auch für zu Hause aus...

trinkhorn 29. Sep 2020 / Themenstart

https://ruthe.de/cartoons/strip_0115.jpg ruthe.de

TrollNo1 29. Sep 2020 / Themenstart

Ich mache das sicher nciht. Und mit Idiot meine ich nicht sein Können sondern dass das...

Kommentieren


Folgen Sie uns
       


Cyberpunk 2077 angespielt

Cyberpunk 2077 dürfte ein angenehm forderndes und im positiven Sinne komplexes Abenteuer werden.

Cyberpunk 2077 angespielt Video aufrufen
Bauen: Ein Hochhaus aus Holz für Hamburg
Bauen
Ein Hochhaus aus Holz für Hamburg

Die weltweite Zementherstellung stößt jährlich mehr CO2 aus als der Luftverkehr. Ein nachwachsender Rohstoff soll Bauen umweltfreundlicher machen.
Ein Bericht von Werner Pluta

  1. Transformation Söder will E-Auto-Gutschein beim Kauf von Verbrennern
  2. Kohlendioxidabscheidung Norwegen fördert Klimaschutzprojekt mit 1,5 Milliarden Euro
  3. Rohstoffe Kobalt-Kleinbergbau im Kongo soll besser werden

Oneplus 8T im Test: Oneplus gutes Gesamtpaket kostet 600 Euro
Oneplus 8T im Test
Oneplus gutes Gesamtpaket kostet 600 Euro

Das Oneplus 8 wird durch das 8T abgelöst. Im Test überzeugen vor allem die Kamera und die Ladegeschwindigkeit. Ein 8T Pro gibt es 2020 nicht.
Ein Test von Tobias Költzsch

  1. Bloatware Oneplus installiert keine Facebook-Dienste mehr vor
  2. Smartphone Oneplus 8 und 8 Pro bekommen Android 11
  3. Mobile Neues Oneplus-Smartphone für 200 US-Dollar erwartet

Differential Privacy: Es bleibt undurchsichtig
Differential Privacy
Es bleibt undurchsichtig

Mit Differential Privacy soll die Privatsphäre von Menschen geschützt werden, obwohl jede Menge persönlicher Daten verarbeitet werden. Häufig sagen Unternehmen aber nicht, wie genau sie das machen.
Von Anna Biselli

  1. Strafverfolgung Google rückt IP-Adressen von Suchanfragen heraus
  2. Datenschutz Millionenbußgeld gegen H&M wegen Ausspähung in Callcenter
  3. Personenkennziffer Bundestagsgutachten zweifelt an Verfassungsmäßigkeit

    •  /