Schon toll, so ein "Internet of Things"

Montag, 27.3.2017, 11:15 > daMax

Heute: Der Miele-Geschirrspüler mit integriertem Webserver und entsprechend vorhersehbaren Sicherheitslücken. Ich kann mir da echt nur noch an den Kopp langen.

“The corresponding embedded Web server 'PST10 WebServer' typically listens to port 80 and is prone to a directory traversal attack, therefore an unauthenticated attacker may be able to exploit this issue to access sensitive information to aide in subsequent attacks.”

Proving it for yourself is simple: GET /../../../../../../../../../../../../etc/shadow HTTP/1.1 to whatever IP the dishwasher has on the LAN.

Directory traversal attacks let miscreants access directories other than those needed by a web server. And once they're in those directories, it's party time because they can insert their own code and tell the web server to execute it.

(via von-leitner-institut-für-verteiltes-echtzeit-java)

| Abgelegt unter IoT-Irrsinn
The views expressed by the author are personal.

Artikel aus der gleichen Kategorie:
Endlich 18! «
So langsam kann ich keine apokalyptischen Nachrichten mehr ertragen «
Firmenname des Tages «

6 Meinungen zu “Schon toll, so ein "Internet of Things"”

Tobsen meinte:

27.3.2017 um 12:15 Uhr

Was war nochmal der Vorteil eines Internetanschlusses bei einer Spülmaschine?

Antworten

da]v[ax meinte:

27.3.2017 um 13:23 Uhr

@Tobsen: IoT! Industrie 4.0! Datenautobahn mit ~~Standstreifen~~ Überholspur! Neuland! BUZZWORDS!!!1!

Antworten

frater mosses zu lobdenberg meinte:

28.3.2017 um 12:19 Uhr

Na, da kann ich ja froh sein, dass unsere neue Waschmaschine (Siemens) bewusst ohne Webanbindung und automagischen Waschmittelnachkauf ausgewählt wurde. Die olle Spüline ist eh zu doof, um was anderes zu können als Abspülen. Manchmal noch nicht mal das.

Antworten

JoyntSoft meinte:

28.3.2017 um 22:55 Uhr

Ich vermute dahinter ein Wartungsinterface, welches fälschlicherweise an's Internet angeschlossen wurde, wobei ich der Meinung bin, dass dies nicht ohne weiteres möglich sein sollte.

Antworten

fronti meinte:

30.3.2017 um 11:05 Uhr

@JoyntSoft:
laut der bedienungsanleitung
https://www.miele.de/pmedia/ZGA/TX2070/10317041-000-00_10317041-00.pdf
ist es auch genau das. Und es darf nur von Miele Kundendienstlern angeschlossen werden.

Also so wild ist das alles nicht.
Witzig ja aber nun wirklich kein echtes Problem

CVE-2008-7173

ist viel viel schlimmer!
Und da redet auch niemand mehr von auch wenn das sogar einen DDos ermöglichte.

Und dann könnte man wirklich nicht mehr arbeiten,

Antworten

da]v[ax meinte:

30.3.2017 um 11:22 Uhr

@fronti: andere Konzerne haben da ganz andere Probleme, aber offenbar keine Sorgen

Antworten

Antworten

Das Kleingedruckte:
Halte Dich bitte an die Spielregeln. Welche Emoticons du verwenden kannst, steht hier.

Um hier kommentieren zu können, musst Du einen beliebigen Namen sowie eine beliebige E-Mail-Adresse angeben. Diese Daten werden dann erstmal zur Spamerkennung in die USA geschickt, dort und danach auch auf meinem Server gespeichert. Mit dem Absenden Deines Kommentars erklärst Du Dich damit und den hier geltenden Datenschutzbestimmungen (insbesondere dem Abschnitt Kommentarfunktion) einverstanden. Wenn Du damit nicht einverstanden bist, lass das Kommentieren bleiben, aber dann deinstalliere bitte auch sofort WhatsApp und verabschiede Dich von Facebook. Kommentarabonnements werden automatisch nach 3 Monaten gelöscht.

Wer HTML kann, ist klar im Vorteil. Diese Tags sind erlaubt:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Bei der Menge an Spam-Kommentaren passiert es hin und wieder, dass ein Kommentar vom Spamfilter gefressen wird. Bitte sei mir nicht böse aber ich habe weder Zeit noch Lust, solch verloren gegangenen Kommentaren hinterher zu forschen. Wenn das öfters passiert, schreib' mir 'ne Mail damit ich dich whitelisten kann.

daMax on Dumm klickt gut: “@Schwarzes_Einhorn:

lustig, ich hatte 2024 gelesen

und ja, ich finde es auch ziemlich krass, wie realer der Film…”

Schwarzes_Einhorn on Dumm klickt gut: “Ups… Ich seh grad, daß ich 2014 statt 2024 geschrieben habe – da sieht man mal, wie ansteckend der Film…”

daMax on Dumm klickt gut: “@Schwarzes_Einhorn: oh nein, verpasst! Aber egal, Tele5 nervt eh mit viel zu viel Werbung. Ich bin gestern auf BBC1 über…”

Schwarzes_Einhorn on Dumm klickt gut: “Der Film kommt heute (19.11.2014) in Tele5.”

Arno on Wie die GEMA aktiv Kultur unterbindet...: “25.000 bis 30.000 Euro Gebühren, von denen der Großteil vermutlich an Leute wie den ehemaligen Gitarristen von Thomas Anders verteilt…”

meh on Wie die GEMA aktiv Kultur unterbindet...: “Ob es jetzt schade ist, um schlechte Musik aus schlechten Lautsprechern, ist eine andere Frage.. @daMax: Ja, in Theorie nett,…”

meh on ...and garnished with lark's vomit: “Sonst will man alles immer natürlich, jetzt hat man mal eine Superfood-Pflanze die auf natürliche Weise hilft, den Bleibedarf zu…”

daMax on ...and garnished with lark's vomit: “@Andre: danke, ist korrigiert.”

Schon toll, so ein "Internet of Things"

6 Meinungen zu “Schon toll, so ein "Internet of Things"”

Antworten

Radio

Kategorien

Feeds

Zeugs

daMax woanders

Und ihr so…

Was bisher geschah:

OOPS!

Ey, lass mich einfach rein, okay?
(Setzt per Javascript einen Cookie. Wenn Du das alles deaktiviert hast, weiß ich auch nicht, wie ich dir helfen soll)

Ich will das hier nie wieder sehen.
(Setzt per Javascript einen sehr langlebigen Cookie. Wenn Du das alles deaktiviert hast oder Cookies automatisch oder auch von Hand löschst, weiß ich auch nicht, wie ich dir helfen soll)

Schon toll, so ein "Internet of Things"

6 Meinungen zu “Schon toll, so ein "Internet of Things"”

Antworten

Radio

Kategorien

Feeds

Zeugs

daMax woanders

Und ihr so…

Was bisher geschah:

OOPS!

Ey, lass mich einfach rein, okay? (Setzt per Javascript einen Cookie. Wenn Du das alles deaktiviert hast, weiß ich auch nicht, wie ich dir helfen soll)

Ich will das hier nie wieder sehen. (Setzt per Javascript einen sehr langlebigen Cookie. Wenn Du das alles deaktiviert hast oder Cookies automatisch oder auch von Hand löschst, weiß ich auch nicht, wie ich dir helfen soll)

Ey, lass mich einfach rein, okay?
(Setzt per Javascript einen Cookie. Wenn Du das alles deaktiviert hast, weiß ich auch nicht, wie ich dir helfen soll)

Ich will das hier nie wieder sehen.
(Setzt per Javascript einen sehr langlebigen Cookie. Wenn Du das alles deaktiviert hast oder Cookies automatisch oder auch von Hand löschst, weiß ich auch nicht, wie ich dir helfen soll)