Az angol Pent Test Partners néhány héttel ezelőtt a DEFCON 23. Las Vegas-i konferenciáján bemutatott egy támadást a Samsung RF28HMELBSR típusú hűtőszekrénye ellen egy biztonsági rést kihasználva, és a támadás végeredményeként eltulajdonította a hűtő tulajdonosának Google belépőadatait.

Jogosan merül fel a kérdés, hogy mit is csinál egy frigó a Google azonosítóinkkal. Persze, ha már tudjuk, hogy ez a háztartási eszköz a Samsung legutóbbi, „okos otthonokhoz” kifejlesztett termékfelhozatalának a részét képezi, nem is csodálkozunk annyira. A hűtőt képes az internetkapcsolatra, továbbá felszerelték egy képernyővel is, amely megmutatja a napi teendőket és a Google Naptárból áthúzott feladatokat.

A biztonsági szakemberek szerint a hűtő bár alkalmazza az SSL titkosítást, azonban elmulasztja érvényesíteni az SSL igazolásokat. Így például akkor is, amikor felcsatlakozik a Google szerverekre, hogy letöltse a Naptár információit a képernyőre.

Ez a „kis hiba” aztán kiteszi az okos hűtőt az “man in the middle” (ember a középpontban) jellegű támadásoknak, hiszen az elkövetők akár a szomszédból, akár kívülről, az utcáról behatolhatnak és eltulajdoníthatják a Google belépőadatokat.

Azonban az is igaz, hogy a hűtőhack nem minden esetben jött össze, a Samsung védelmi intézkedései alkalmanként tényleg hatásosnak bizonyultak. Például amikor az update szerverekkel létesített kapcsolatot, akkor nem sikerült a bejutás, mint ahogy hamis firmware-frissítést sem sikerült megoldani, és a Samsung Smart Home alkalmazással sem voltak képesek semmilyen kétes dolgot végrehajtani.

A kísérletezést azonban nem hagyják abba, az a terv, hogy a hűtő terminálegységét próbálják megtámadni fizikai úton, mint egy USB port, esetleg valamely széria vagy JTAG interfész.

Forrás: Softpedia