Οι Ken Munro και ο Andrew Tierney της Pen Test Partners έδειξαν στο DEFCON 24 συνέδριο ασφάλειας στο Λας Βέγκας ότι είναι δυνατόν για να τρέξει ransomware σε μια IoT συσκευή, όπως για παράδειγμα σε έναν θερμοστάτη.
Οι δύο τους πήραν έναν IoT θερμοστάτη που διαθέτει μια μεγάλη οθόνη, για να δείξουν το ransom σημείωμά τους και χάκαραν τον κώδικά του, που έτρεχε μια τροποποιημένη έκδοση Linux.
Ήταν σε θέση να χακάρουν τον θερμοστάτη γιατί τους επιτράπηκε η σύνδεση μιας κάρτας SD στη συσκευή.
Επιπλέον, φάνηκε ότι κάθε διαδικασία μέσα στο λογισμικό του θερμοστάτη έτρεχε με root δικαιώματα, που σημαίνει ότι δεν χρειαζόταν κανένα privilege escalation ελάττωμα για να θέσει σε κίνδυνο τη συσκευή.
Έτσι, φόρτωσαν ένα μεγάλο JavaScript αρχείο (7MB) στη συσκευή, το οποίο καλούσε μερικές SQL εντολές, που στη συνέχεια, επέτρεπε στους ερευνητες να τρέξουν μερικές shell εντολές στο υποκείμενο Linux λειτουργικό σύστημα.
Επειδή τα πάντα εκτελούνταν με root δικαιώματα, οι ερευνητές δεν είχαν κανένα πρόβλημα να πειράξουν το UI του θερμοστάτη, κλειδώνοντας την οθόνη και δείχνοντας ένα κλασικό σημείωμα για λύτρα.
“Θερμαίνει έως 99 βαθμούς και ζητά έναν κωδικό PIN για να ξεκλειδώσει, ο οποίος αλλάζει κάθε 30 δευτερόλεπτα”, είπε ο Munro στο Infosecurity Magazine. “Βάλαμε ένα IRC botnet σε αυτό και το εκτελέσιμο καλεί μέσα στο κανάλι και χρησιμοποιεί τη διεύθυνση MAC, ως αναγνωριστικό και θα πρέπει να πληρώσει κανείς ένα Bitcoin για να ξεκλειδώσει.”
Και οι δύο αναγνώρισαν ότι η εγκατάσταση του ransomware είναι κάπως δύσκολη αυτή τη στιγμή. Επί του παρόντος, αυτό απαιτεί ο απατεώνας να έχει φυσική πρόσβαση στη συσκευή ή με κάποιο τρόπο να ξεγελάσει τον χρήστη να φορτώσει κακόβουλα αρχεία στη συσκευή από μόνος του.
Οι Munro και Tierney είπαν ότι τους πήρε δύο βράδια για να χακάρουν τον θερμοστάτη και ότι το έκαναν λίγο πριν από το DEFCON συνέδριο, έτσι δεν είχαν χρόνο για να υποβάλουν αναφορά σφάλματος στον κατασκευαστή του θερμοστάτη, αλλά σκόπευαν να το κάνουν τη Δευτέρα.
Ως εκ τούτου, δεν αποκάλυψαν τη μάρκα και το μοντέλο του χακαρισμένου θερμοστάτη κατά τη διάρκεια της DEFCON παρουσίασης τους.
Το πιο σημαντικό πρόβλημα που ο πωλητής οφείλει να επιδιορθώσει είναι να σταματήσει να τρέχει τον κώδικα ως root και να προχωρήσει τις διαδικασίες με λιγότερο προνομιούχους λογαριασμούς χρηστών.
