Miele Geschirrspüler mit Directory Travelsal Attack

Wie  The Register berichtet, hat Miele einen Industrie Geschirrspüler „Professional PG 8528“ mit Netzanschluß auf den Markt gebracht. Wie nicht anders zu erwarten, patzte der Hersteller bei der Sicherheit ( Was war das doch gleich ? )  und baute ein Netzwerkmodul mit Directory Travelsal Attack Schwachstelle im mitgelieferten Webserver ein.

Es kam wie es kommen mußte, jemand hat mal nachgeschaut und wie auch schon bei anderen IoT Schwachstellenberichten, hat Miele bislang nicht auf die Meldung des Finders der Lücke, Jens Regel von der Firma Schneider-Wulf, reagiert. Auf Updates und Bugfixes werden wir ohne verzichten müssen.

Das Vulnerability Advisory wurde dann auch über die Full Disclosure Mailingliste versendet, so daß jetzt jedes Restaurant, daß die Maschine ordnungsgemäß ins Netz gehängt hat, darauf warten kann, wann der Geschirrspüler das nächstgelegene Wifi hackt oder Spams versendet 😀 Und das alles, weil jemand vom PC aus nachsehen will, ob die rote BetriebsLED am Gehäuse auch funktioniert 😀

All Hail IoT!

 

Update: Miele hat sich dann doch noch gemeldet, nachdem Heise Security nachgefragt hat. „Äh ja, können wir uns auch nicht erklären….usw. usw.“

Die Woche im Netz

Eine IoT Steckdose redet unverschlüsselt mit dem chinesischen Firmenserver für Fernsteuerungen und bekommt auf Amazon eine schlechte Bewertung deswegen, doch statt das Problem zulösen, setzt man den Bewerter moralisch unter Druck um eine gute Bewertung zu bekommen. Wann seht Ihrs endlich ein: IoT ist Mist.

Quelle: golem.de

Sie glauben auf makroskopischer Ebene nicht an Zufälle ? Schauen Sie sich mal den Focus Link unten an.

Quelle: Focus.de

Von Behörden in Auftrag gegebene Softwareentwicklungen sollen nach Plänen der Regierung in Bulgarien nur noch Open-Source sein. Begründung: Was von Steuergeldern bezahlt wurde, sollte Steuerzahler auch einsehen dürfen. Gute Idee Bulgarien!

Quelle: zdnet.de

CSS Schwachstelle bei Interpol Webseite entdeckt.

Quelle: golem.de

Pac-Man mit lebenden Mikroben nachgebaut. Also Nerds, ab in den Laborkittel und mitfiebert, wenn Augentierchen und Wimpertierchen als Pac-Man auf gefräßige Rädertierchen stoßen.

Quelle: spektrum.de

Sicherheitsalarm: TP-Link hat vergessen zwei seiner Routerdomains zu verlängern. Diese werden jetzt für 2.5 Mio USD das Stück zum Kauf angeboten.

Quelle: thehackernews.com

Die Supernasen kommen – genmanipulierte Mäuse könnten als Sprengstoffsuchtiere eingesetzt werden.

Quelle: wissenschaft.de

Sicherheitslücken bei BMW – In den Webdiensten von BMW wurden diverse Sicherheitslücken entdeckt, die im Endeffekt dazu führten, daß Informationen ins OnBoard Infotainmentsystem übertragen wurden. Wie man sich leicht vorstellen kann, ist es von da bis zur CPU nur einen Exploit weit.

Quelle: thehackernews.com

Seit neuesten hat Google einen Kryptoalgorithmus im Browsertest mit Chrome, der vor Angriffen mit Quantencomputern schützen soll.  An der Sache arbeiten die Schöpfer schon seit Dezember 2015, als aus einer Menge an Ideen, der vielversprechenste Ansatz von Google ausgewählt wurde. Wer über die Abkürzung „CECPQ1“ stolpert, hat den Algo gefunden 😉

Quelle: security.googleblog.com

Sauber ausgetüftelt – das hatten sich die Verlage anders vorgestellt. Statt Geld mit dem Leitungsschutzrecht zuverdienen, mußten die Verlage wegen der Rechtsstreitigkeiten noch Geld drauflegen 🙂

Quelle: golem.de

Diese Woche im Netz

Microsofts Office 360 User sind auf in 2016 noch anfällig für Macroattacken, und wie schon im letzten  Jahrtausend, muß das Opfer immernoch einen Knopf drücken um gehackt zu werden.
Vermutlich sind die Angriffe schon so alt, daß die Menschen bereits in Rente sind, die die Welle damals noch mitgemacht haben 🙂

Quelle: thehackernews.com

Wie ArsTechnica berichtet, könnte es in Russland bald zu einer weiteren Verschärfung der Internetüberwachung kommen. Das Szenario ist eine Megafette Vorratsdatenspeicherung 3.0, weil Inhalte für 6 Monate gespeichert werden sollen und Metadaten für 3 Jahre. Soviel Festplattenspeicherplatz hat dann nichtmal die NSA zur Verfügung  ( Das passende Video zum Thema ) 😉

Quelle: arstechnica.com

50% der Firmenchefs anfällig für Phisingattacken. Wer hätte gedacht, daß sich das Management für cleverer hält als das Fußvolk 😀

Quelle: v3.co.uk

Nächstes IoT-DDOS-Botnetz gefunden: 25.000+ IP Cams versklaved.

Quelle: thehackernews.com

Und wieder sind Medizinische Daten im Netz „verloren“ gegangen. Die Leute lernen einfach nicht dazu.

Quelle: theinquirer.net

4 US$ Smartphone kommt in Indien auf den Markt.

Quelle: AndroidCentral.com

Erster Autounfall mit Todesfolge bei Tesla wo der Autopilot gefahren ist.

Quelle: focus.de