A dokázali tím co? Aby mi takto někdo "hacknulů robotický vysavač musel by se k nemu dostat a to už by pro něj bylo 100x jednodušší tam rovnou umístit odposlouchávání...
+1
+2
-1
Je komentář přínosný?
A dokázali tím co? Aby mi
DRK https://cdr.cz/profil/drk22
20. 11. 2020 - 15:41https://cdr.cz/clanek/navigaci-ve-vasem-chytrem-vysavaci-lze-snadno-hacknout-promenit-na-mikrofon/diskuseA dokázali tím co? Aby mi takto někdo "hacknulů robotický vysavač musel by se k nemu dostat a to už by pro něj bylo 100x jednodušší tam rovnou umístit odposlouchávání...https://cdr.cz/clanek/navigaci-ve-vasem-chytrem-vysavaci-lze-snadno-hacknout-promenit-na-mikrofon/diskuse#comment-1318507
+
Proč by se k němu musel fyzicky dostat? Většina vysavačů od Xiaomi má WiFi a podporuje OTA aktualizace. Takže se stačí správně nabourat do procesu aktualizace. Většina těchto čínských "výrobků" nepoužívá pro OTA zabezpečený kanál a pokud už ano, tak používají zastaralé SSL 3.0 až TLS 1.1, nevyužívaní SNI či neověřují certifikáty. Takže vetšinou stačí běžný man-in-the-middle útok DNS spoofing. Takže nic složitého pro průměrného bezpečnostního analytika/programátora.
Je však pravdou, že lepší bude se nabourat do něčeho co už má mikrofon...
+1
-1
-1
Je komentář přínosný?
Proč by se k němu musel
J D https://cdr.cz/profil/hnz
20. 11. 2020 - 17:14https://cdr.cz/clanek/navigaci-ve-vasem-chytrem-vysavaci-lze-snadno-hacknout-promenit-na-mikrofon/diskuseProč by se k němu musel fyzicky dostat? Většina vysavačů od Xiaomi má WiFi a podporuje OTA aktualizace. Takže se stačí správně nabourat do procesu aktualizace. Většina těchto čínských "výrobků" nepoužívá pro OTA zabezpečený kanál a pokud už ano, tak používají zastaralé SSL 3.0 až TLS 1.1, nevyužívaní SNI či neověřují certifikáty. Takže vetšinou stačí běžný man-in-the-middle útok DNS spoofing. Takže nic složitého pro průměrného bezpečnostního analytika/programátora.
Je však pravdou, že lepší bude se nabourat do něčeho co už má mikrofon...https://cdr.cz/clanek/navigaci-ve-vasem-chytrem-vysavaci-lze-snadno-hacknout-promenit-na-mikrofon/diskuse#comment-1318519
+
mno, co jsi uvedl rozporovat nemohu, protože do toho, jak můj roborock provádí update nevidím. Ale vím, že je poslední z řady, kde je ještě firmware otevřené a digitálně nepodepsané. proto tam jde také namountovat čeština a defacto mu podvrhnout update. Na všech novějších roborocích se to doposud prorazit nepodařilo, takže to, že podvrhneš update je ti prd platný, protože ho vysavač prostě odmítne. V nejhorším případě se brickne.
+1
0
-1
Je komentář přínosný?
mno, co jsi uvedl rozporovat
Tomáš Černák https://cdr.cz/profil/cernakus
21. 11. 2020 - 10:40https://cdr.cz/clanek/navigaci-ve-vasem-chytrem-vysavaci-lze-snadno-hacknout-promenit-na-mikrofon/diskusemno, co jsi uvedl rozporovat nemohu, protože do toho, jak můj roborock provádí update nevidím. Ale vím, že je poslední z řady, kde je ještě firmware otevřené a digitálně nepodepsané. proto tam jde také namountovat čeština a defacto mu podvrhnout update. Na všech novějších roborocích se to doposud prorazit nepodařilo, takže to, že podvrhneš update je ti prd platný, protože ho vysavač prostě odmítne. V nejhorším případě se brickne.https://cdr.cz/clanek/navigaci-ve-vasem-chytrem-vysavaci-lze-snadno-hacknout-promenit-na-mikrofon/diskuse#comment-1318569
+
"lidé nemusejí mít přílišné obavy ze špionáže přes robotický vysavač"
- Může to být pravda. Na druhou stranu počet těchto "okrajových" děr v našem okolí neustále roste.
- Jedné se bát nemusíme, ale když jich budou stovky, tak mají tajné služby "jídelníček" ze, kterého si můžou vybrat, co ucho ráčí. Jen v listopadovém updatu opravil Microsoft 112 děr.
- Takže má smysl každou díru řešit. https://www.theregister.com/2020/11/11/patch_tuesday_updates/
+1
0
-1
Je komentář přínosný?
"lidé nemusejí mít přílišné
junk mail https://cdr.cz/profil/junk
21. 11. 2020 - 01:03https://cdr.cz/clanek/navigaci-ve-vasem-chytrem-vysavaci-lze-snadno-hacknout-promenit-na-mikrofon/diskuse"lidé nemusejí mít přílišné obavy ze špionáže přes robotický vysavač"
- Může to být pravda. Na druhou stranu počet těchto "okrajových" děr v našem okolí neustále roste.
- Jedné se bát nemusíme, ale když jich budou stovky, tak mají tajné služby "jídelníček" ze, kterého si můžou vybrat, co ucho ráčí. Jen v listopadovém updatu opravil Microsoft 112 děr.
- Takže má smysl každou díru řešit.
https://www.theregister.com/2020/11/11/patch_tuesday_updates/https://cdr.cz/clanek/navigaci-ve-vasem-chytrem-vysavaci-lze-snadno-hacknout-promenit-na-mikrofon/diskuse#comment-1318546
+
A dokázali tím co? Aby mi takto někdo "hacknulů robotický vysavač musel by se k nemu dostat a to už by pro něj bylo 100x jednodušší tam rovnou umístit odposlouchávání...
Proč by se k němu musel fyzicky dostat? Většina vysavačů od Xiaomi má WiFi a podporuje OTA aktualizace. Takže se stačí správně nabourat do procesu aktualizace. Většina těchto čínských "výrobků" nepoužívá pro OTA zabezpečený kanál a pokud už ano, tak používají zastaralé SSL 3.0 až TLS 1.1, nevyužívaní SNI či neověřují certifikáty. Takže vetšinou stačí běžný man-in-the-middle útok DNS spoofing. Takže nic složitého pro průměrného bezpečnostního analytika/programátora.
Je však pravdou, že lepší bude se nabourat do něčeho co už má mikrofon...
mno, co jsi uvedl rozporovat nemohu, protože do toho, jak můj roborock provádí update nevidím. Ale vím, že je poslední z řady, kde je ještě firmware otevřené a digitálně nepodepsané. proto tam jde také namountovat čeština a defacto mu podvrhnout update. Na všech novějších roborocích se to doposud prorazit nepodařilo, takže to, že podvrhneš update je ti prd platný, protože ho vysavač prostě odmítne. V nejhorším případě se brickne.
"lidé nemusejí mít přílišné obavy ze špionáže přes robotický vysavač"
- Může to být pravda. Na druhou stranu počet těchto "okrajových" děr v našem okolí neustále roste.
- Jedné se bát nemusíme, ale když jich budou stovky, tak mají tajné služby "jídelníček" ze, kterého si můžou vybrat, co ucho ráčí. Jen v listopadovém updatu opravil Microsoft 112 děr.
- Takže má smysl každou díru řešit.
https://www.theregister.com/2020/11/11/patch_tuesday_updates/
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.