Hacker demonstrieren Ransomware für Heizungsthermostat

- 09. August 2016

Der gehackte Thermostat fordert Bitcoins. Quelle: Pentesptartners

Zwei Entwickler der Sicherheitsfirma Pentestpartners haben bei der Defcon 24 gezeigt, dass es ihnen ohne große Mühe in einigen Tagen möglich war, einen dem Internet of Things zuzuordnenden Thermostaten für die Homeautomation zu hacken.

Die beiden Entwickler, Andrew Tierney und Ken Munro, betonen, dass es bei der Demonstration beim IoT-Teil der Defcon darum gegangen sei, die Möglichkeit aufzuzeigen. Die Hersteller, so hoffen die beiden, sollten ihre Geräte sicherer machen und die Lücken, die den Angriff ermöglichten schließen.

Der gehackte Thermostat fordert Bitcoins. Quelle: Pentesptartners

Im Fall des gehackten Thermostats, der mit einem ARM-Board und Linux und einem LCD-Screen bestückt ist, führte der Angriff letztlich über die im Thermostat für Nutzerprofile integrierte SD-Karte. Die Karte speichert nicht nur die vom Nutzer gewünschten Temperaturprofile, nebst Bildschirmschonern und dergleichen, sie enthält auch eine Funktion namens Firmware. Die wiederum lässt sich über das zum Editieren des Inhalts auf der SD-Karte genutzte Adobe Air herunterladen und entpacken. Wie sich nach Anwendung einiger Tools zeigte, war nahezu die gesamte Funktionalität des Thermostats in ein großes, monolithisches Binary gepackt, das über Root-Rechte verfügt.

Das weitere Vorgehen ist im Blog von Andrew Tierney und Ken Munro bei Pentestpartners nachzulesen. Die beiden beließen es dabei, den Angriff mit einem Screensaver abzuschließen, der Bitcoins für die mit Ransomware geblockten Funktionen fordert und drohten damit, die Heizung auf 99 Grad aufzudrehen. Der Thermostat enthält nach den Angaben im Blog aber auch die Option, Heizung und Klimaanlage gleichzeitig zu aktivieren und einige für die Hausbewohner unangenehme und teure Dinge mehr.

Der Angriff über die SD-Karte war zwar lokal, nach den Erkenntnissen der beiden Hacker kontrolliert der Thermostat aber nicht, was er für Dateien ausführt. Es wäre letztlich möglich, dem Nutzer ein präpariertes Bild oder eine Anwendung unterzujubeln.

Linux-Kommandozeilentools kommen für Windows

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Trump unterzeichnet Anordnung zur Überprüfung von KI-Modellen

Die Anordnung stellt eine Abkehr von der bisher vom Weißen Haus gegenüber KI verfolgten zurückhaltenden Haltung dar. Sie folgt auf Debatten darüber, wie man die Kontrolle über KI-Modelle erlangen könne, ohne dabei die Innovation zu behindern.

Vim Classic in erster Version erschienen

Vim Classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim Classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

Flathub verbietet KI-generierte Inhalte aller Art

Flathub, das zentrale Repository für Flatpak-Apps, hat eine neue Policy eingeführt, der zufolge KI-generierte oder -assistierte Inhalte verboten sind.

Anthropic beantragt Börsengang

Anthropic, das KI-Unternehmen hinter dem Chatbot Claude, hat vertraulich einen Antrag auf einen Börsengang eingereicht.

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Inline Feedbacks

Alle Kommentare anzeigen