Das Internet der Dinge birgt Gefahren, die man sich eigentlich gar nicht vorstellen kann. Das zeigt eine Kaffeemaschine, die sich zu einem Erpresser mit Lösegeldfoderung umwandeln lässt. Wer nicht zahlt, der wird mit heißem Wasser bespritzt.
Ransomware: „Smarte“ Kaffeemaschine fordert Geld
Immer mehr Haushaltsgeräte sind mit dem Internet verbunden. Das betrifft nicht nur den Thermomix TM6, sondern zum Beispiel auch die Kaffeemaschine Coffee Maker aus dem Hause Smarter. Diese lässt sich umprogrammieren, damit sie ein Lösegeld fordert. Wer das nicht liefert, der wird mit brühend heißem Wasser bespritzt. Sicherheitsforscher Martin Hron von Avast hat das Konzept nun vorgestellt.
Eigentlich sollte nur demonstriert werden, dass sich auf dem Coffee Maker auch Kryptowährungen schürfen lassen können. Aufgrund der limitierten Hardware setzte Hron dann auf ein ganz anderes Konzept: Wie wäre es, wenn die Maschine statt Kaffee zu produzieren einfach ein Lösegeld vom Besitzer fordert? Genau diese Frage konnte er eindrucksvoll beantworten, wie Ars Technica berichtet.
Der nichtsahnende Besitzer freut sich auf seinen Kaffee, doch statt diesen zu bekommen erscheint auf dem Display der nun laut piependen Maschine eine Lösegeldforderung mitsamt URL. Die soll aufgerufen und den Anweisungen gefolgt werden – erst dann hört die Maschine auf, heißes Wasser im Raum zu verteilen.
Die Ransomware-Attacke im Video:
Erpressung über Kaffeemaschine ziemlich einfach
Sicherheitsforscher Martin Hron zufolge war es gar nicht so schwer, den Coffee Maker zu einem Erpresser umzuwandeln. Man müsse sich lediglich im gleichen WLAN befinden, da es vonseiten der Maschine keine Verschlüsselung oder Authentifizierung gäbe. Die Firmware lässt sich so ganz einfach beliebig austauschen – ohne irgendeine Überprüfung der Signatur. Hron zufolge könnte ein Angriff auch aus der Ferne ablaufen.
Mit dem Proof-of-Concept soll darauf hingewiesen werden, dass auch vermeintlich „smarte“ Geräte über Sicherheitslücken verfügen, die von Angreifern ausgenutzt werden können. Hier sollen die Hersteller in die Pflicht genommen werden. Ein Kühlschrank beispielsweise hat eine normale Nutzungsdauer von 17 Jahren. Über den gesamten Zeitraum würde sicher kein Hersteller Sicherheits-Updates verteilen.
