Erpressomaschine: Wenn die Kaffeemaschine Lösegeld verlangt

Sie piept, versprüht heißes Wasser und fordert Lösegeld: Ein Forscher konnte seine smarte Kaffeemaschine zu einer Erpressermaschine machen.

Artikel veröffentlicht am ,
Ransomware auf dem Coffee Maker von Smarter
Ransomware auf dem Coffee Maker von Smarter (Bild: Avast/Screenshot: Golem.de)

Eigentlich wollte der Sicherheitsforscher Martin Hron von Avast nur beweisen, dass er mit seiner smarten Kaffeemaschine Kryptowährungen schürfen kann - doch bei einer Geschwindigkeit von 8 MHz erschien das wenig sinnvoll. Stattdessen übernahm er die komplette Kaffeemaschine und blendete eine Lösegeldforderung auf dem Display ein. Dem Betroffenen blieb nur noch eines: den Stecker der Kaffeemaschine ziehen. Zuerst hatte das Onlinemagazin Ars Technica berichtet.

Mit seiner Analyse des Coffee Maker des Herstellers Smarter in Version 1 will Hron auch auf ein Problem smarter Haushaltsgeräte hinweisen: IoT-Geräte haben eine viel kürzere Nutzungsdauer als vergleichbare Haushaltsgeräte. Die normale Nutzungsdauer eines Kühlschranks betrage beispielsweise 17 Jahre, ein Zeitraum, in dem IoT-Geräte üblicherweise nicht mit Sicherheitsupdates versorgt werden. So auch die Kaffeemaschine von Hron, die vor rund zwei Jahren durch ein neueres Modell ersetzt wurde.

Hron analysierte die App, API und Firmware der Kaffeemaschine und konnte nach kurzer Zeit Befehle von seinem Computer an die Kaffeemaschine senden. Einzige Voraussetzung für das Aufbrühen eines Kaffees: Er musste sich im selben WLAN wie die Kaffeemaschine befinden. Verschlüsselung oder Authentifizierung? Fehlanzeige! Eine Liste der Befehle hat Hron auf Github veröffentlicht.

Modifizierte Firmware fordert Lösegeld

Mit einem solchen Befehl kann die Kaffeemaschine auch in den Update-Modus versetzt werden, bei neueren Firmwareversionen musste das Einspielen des Updates jedoch durch einen Tastendruck am Gerät erlaubt werden. Auch hier gab es weder eine Authentifizierung noch eine verschlüsselte Verbindung oder die Überprüfung einer Firmware-Signatur.

Hron ergänzte die Firmware durch eine Ransomware, die die Kaffeemaschine unbenutzbar macht: Auf dem Display erscheint eine Lösgeldforderung, während das Heizbett dauerhaft erhitzt und aufgebrühtes Wasser ausgegeben wird. Zudem wird die Kaffeemühle immer wieder angeschmissen und ein Piepton ertönt. Dem Nutzer bleibe nur noch, den Stecker zu ziehen, erklärte Hron.

Wie kommt die modifizierte Firmware auf das Gerät?

In einem Blogeintrag spielt Hron mehrere Möglichkeiten durch, wie eine modifizierte Firmware von außen auf die Kaffeemaschine gespielt werden könne. Ein solcher sei auch aus der Ferne möglich, wenn beispielsweise der Router gehackt wurde und so Zugriff auf das lokale Netzwerk bestehe, erklärt Hron. Allerdings muss die Person, der die Kaffeemaschine gehört, je nach Firmware-Version mittels Social Engineering zum Tastendruck an der Kaffeemaschine gebracht werden, damit die Firmware eingespielt werden kann.

Befindet sich die angreifende Person in der physischen Nähe der Kaffeemaschine, könne diese mit einem Deauth-Befehl aus dem WLAN entfernt werden. Interessanterweise versuche die Kaffeemaschine nicht, sich einfach neu zu verbinden, sondern spanne ein ungeschütztes Wi-Fi zur Konfiguration des Gerätes auf. Stelle der Eindringling eine Verbindung mit dem ungeschützten Wi-Fi her, könne ein Firmware-Update eingespielt werden, ohne dass eine Bestätigungstaste gedrückt werden müsse, erklärt Hron.

Ende vergangenen Jahres konnte eine Forscherin smarte Futterstationen von Xiaomi übernehmen und fernsteuern. Erst kürzlich haben Sicherheitsforscher aus Österreich eine Sicherheitslücke in einer Küchenmaschine mit WLAN-Funktion entdeckt, die sie in WLAN-Reichweite übernehmen und fernsteuern konnten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


ufo70 30. Sep 2020

Dann eben eine Kamera, die Produkte müssen dann aber so ausgerichtet sein, dass diese sie...

ufo70 30. Sep 2020

XD Scheiße, die ersten paar Sekunden dachte ich wirklich, es wäre real. ;)

jo-1 29. Sep 2020

Ausser die haben einen gut ausgebildeten Barista - das setzte ich auch für zu Hause aus...

trinkhorn 29. Sep 2020

https://ruthe.de/cartoons/strip_0115.jpg ruthe.de



Aktuell auf der Startseite von Golem.de
Discounter
Netto bringt Balkonkraftwerk mit 820 Watt Peak

Netto hat ein Balkonkraftwerk mit 820 Watt (Peak) im Angebot, das direkt an eine Steckdose angeschlossen werden kann und die Stromrechnung reduzieren soll.

Discounter: Netto bringt Balkonkraftwerk mit 820 Watt Peak
Artikel
  1. OpenAI: ChatGPT-Firma lässt Programmierer die KI trainieren
    OpenAI
    ChatGPT-Firma lässt Programmierer die KI trainieren

    OpenAI, das Unternehmen hinter ChatGPT, hat Hunderte von Freiberuflern aus Schwellenländern zum Trainieren von Programmierfähigkeiten der KI eingesetzt.

  2. Arbeit im Support: Von der Kunst, Menschen und Technik zu jonglieren
    Arbeit im Support
    Von der Kunst, Menschen und Technik zu jonglieren

    Geht nicht, gibt's oft - und dann klingelt das Telefon beim Support. Das Spektrum der Probleme ist gewaltig und die Ansprüche an einen guten Support auch. Ein Leitfaden für (angehende) Supportmitarbeiter.
    Ein Ratgebertext von Lutz Olav Däumling

  3. Raumfahrtkonzept: Schnellere Weltraumreisen durch Pellet-Strahlenantrieb
    Raumfahrtkonzept
    Schnellere Weltraumreisen durch Pellet-Strahlenantrieb

    Die Nasa fördert innovative Konzepte für die Raumfahrt. Darunter eines, dass Weltraumreisen viel schneller machen soll.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 980 PRO 1TB Heatsink 111€ • Patriot Viper VPN100 2TB 123,89€ • Corsair Ironclaw RGB Wireless 54€ • Alternate: Weekend Sale • WSV bei MediaMarkt • MindStar: XFX RX 6950 XT 799€, MSI RTX 4090 1.889€ • Epos Sennheiser Game One -55% • RAM-/Graka-Preisrutsch [Werbung]
    •  /