• IT-Karriere:
  • Services:

Erpressomaschine: Wenn die Kaffeemaschine Lösegeld verlangt

Sie piept, versprüht heißes Wasser und fordert Lösegeld: Ein Forscher konnte seine smarte Kaffeemaschine zu einer Erpressermaschine machen.

Artikel veröffentlicht am ,
Ransomware auf dem Coffee Maker von Smarter
Ransomware auf dem Coffee Maker von Smarter (Bild: Avast/Screenshot: Golem.de)

Eigentlich wollte der Sicherheitsforscher Martin Hron von Avast nur beweisen, dass er mit seiner smarten Kaffeemaschine Kryptowährungen schürfen kann - doch bei einer Geschwindigkeit von 8 MHz erschien das wenig sinnvoll. Stattdessen übernahm er die komplette Kaffeemaschine und blendete eine Lösegeldforderung auf dem Display ein. Dem Betroffenen blieb nur noch eines: den Stecker der Kaffeemaschine ziehen. Zuerst hatte das Onlinemagazin Ars Technica berichtet.

Stellenmarkt
  1. Sanetta Gebrüder Ammann GmbH & Co. KG, Meßstetten
  2. Schaeffler AG, Herzogenaurach

Mit seiner Analyse des Coffee Maker des Herstellers Smarter in Version 1 will Hron auch auf ein Problem smarter Haushaltsgeräte hinweisen: IoT-Geräte haben eine viel kürzere Nutzungsdauer als vergleichbare Haushaltsgeräte. Die normale Nutzungsdauer eines Kühlschranks betrage beispielsweise 17 Jahre, ein Zeitraum, in dem IoT-Geräte üblicherweise nicht mit Sicherheitsupdates versorgt werden. So auch die Kaffeemaschine von Hron, die vor rund zwei Jahren durch ein neueres Modell ersetzt wurde.

Hron analysierte die App, API und Firmware der Kaffeemaschine und konnte nach kurzer Zeit Befehle von seinem Computer an die Kaffeemaschine senden. Einzige Voraussetzung für das Aufbrühen eines Kaffees: Er musste sich im selben WLAN wie die Kaffeemaschine befinden. Verschlüsselung oder Authentifizierung? Fehlanzeige! Eine Liste der Befehle hat Hron auf Github veröffentlicht.

Modifizierte Firmware fordert Lösegeld

Mit einem solchen Befehl kann die Kaffeemaschine auch in den Update-Modus versetzt werden, bei neueren Firmwareversionen musste das Einspielen des Updates jedoch durch einen Tastendruck am Gerät erlaubt werden. Auch hier gab es weder eine Authentifizierung noch eine verschlüsselte Verbindung oder die Überprüfung einer Firmware-Signatur.

Hron ergänzte die Firmware durch eine Ransomware, die die Kaffeemaschine unbenutzbar macht: Auf dem Display erscheint eine Lösgeldforderung, während das Heizbett dauerhaft erhitzt und aufgebrühtes Wasser ausgegeben wird. Zudem wird die Kaffeemühle immer wieder angeschmissen und ein Piepton ertönt. Dem Nutzer bleibe nur noch, den Stecker zu ziehen, erklärte Hron.

Wie kommt die modifizierte Firmware auf das Gerät?

In einem Blogeintrag spielt Hron mehrere Möglichkeiten durch, wie eine modifizierte Firmware von außen auf die Kaffeemaschine gespielt werden könne. Ein solcher sei auch aus der Ferne möglich, wenn beispielsweise der Router gehackt wurde und so Zugriff auf das lokale Netzwerk bestehe, erklärt Hron. Allerdings muss die Person, der die Kaffeemaschine gehört, je nach Firmware-Version mittels Social Engineering zum Tastendruck an der Kaffeemaschine gebracht werden, damit die Firmware eingespielt werden kann.

Befindet sich die angreifende Person in der physischen Nähe der Kaffeemaschine, könne diese mit einem Deauth-Befehl aus dem WLAN entfernt werden. Interessanterweise versuche die Kaffeemaschine nicht, sich einfach neu zu verbinden, sondern spanne ein ungeschütztes Wi-Fi zur Konfiguration des Gerätes auf. Stelle der Eindringling eine Verbindung mit dem ungeschützten Wi-Fi her, könne ein Firmware-Update eingespielt werden, ohne dass eine Bestätigungstaste gedrückt werden müsse, erklärt Hron.

Ende vergangenen Jahres konnte eine Forscherin smarte Futterstationen von Xiaomi übernehmen und fernsteuern. Erst kürzlich haben Sicherheitsforscher aus Österreich eine Sicherheitslücke in einer Küchenmaschine mit WLAN-Funktion entdeckt, die sie in WLAN-Reichweite übernehmen und fernsteuern konnten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 158€ (Bestpreis!)
  2. mit Rabattcode "GESCHENK5"
  3. 65,95€
  4. (u. a. Seagate Game Drive PS4 2TB The Last of Us 2 Special Edition für 78,29€, Seagate Game...

ufo70 30. Sep 2020 / Themenstart

Dann eben eine Kamera, die Produkte müssen dann aber so ausgerichtet sein, dass diese sie...

ufo70 30. Sep 2020 / Themenstart

XD Scheiße, die ersten paar Sekunden dachte ich wirklich, es wäre real. ;)

jo-1 29. Sep 2020 / Themenstart

Ausser die haben einen gut ausgebildeten Barista - das setzte ich auch für zu Hause aus...

trinkhorn 29. Sep 2020 / Themenstart

https://ruthe.de/cartoons/strip_0115.jpg ruthe.de

TrollNo1 29. Sep 2020 / Themenstart

Ich mache das sicher nciht. Und mit Idiot meine ich nicht sein Können sondern dass das...

Kommentieren


Folgen Sie uns
       


Zhaxoin ZX-U6780U - Fazit

Wir testen den ZX-U6780U von Zhaxoin, einen achtkernigen x86-Prozessor aus China, der im 16-nm-Verfahren gefertigt wird. Die x86-Lizenz stammt von Centaur, einer Tochter von Via Technologies.

Zhaxoin ZX-U6780U - Fazit Video aufrufen
Apple: iPhone 12 bekommt Magnetrücken und kleinen Bruder
Apple
iPhone 12 bekommt Magnetrücken und kleinen Bruder

Das iPhone 12 ist mit einem 6,1-Zoll- und das iPhone 12 Mini mit einem 5,4-Zoll-Display ausgerüstet. Ladegerät und Kopfhörer fallen aus Gründen des Umweltschutzes weg.

  1. Apple iPhone 12 Pro und iPhone 12 Pro Max werden größer
  2. Apple iPhone 12 verspätet sich
  3. Back Tap iOS 14 erkennt Trommeln auf der iPhone-Rückseite

Tutorial: Was ein On Screen Display alles kann
Tutorial
Was ein On Screen Display alles kann

Werkzeugkasten Viele PC-Spieler schwören auf ein OSD. Denn damit lassen sich Limits erkennen, die Bildqualität verbessern und Ruckler verringern.
Von Marc Sauter


    Shifoo: Golem.de startet Betatest seiner Karriere-Coaching-Plattform
    Shifoo
    Golem.de startet Betatest seiner Karriere-Coaching-Plattform

    Beratung, die IT-Profis in Job & Karriere effizient und individuell unterstützt: Golem.de startet die Video-Coaching-Plattform Shifoo. Hilf uns in der Betaphase, sie für dich perfekt zu machen, und profitiere vom exklusiven Angebot!

    1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
    2. Stellenanzeige Golem.de sucht CvD (m/w/d)
    3. In eigener Sache Die 24-kernige Golem Workstation ist da

      •  /