[Pen Test Partners] har upptäckt några riktigt skrämmande sårbarheter i AGA-sortkokare. De är kopplade till SMS, där en mobilapp skickar en oautentiserad SMS till AGA för att ge den kommandon till exempel förvärmd ugnen, du kan också bara berätta för din AGA att vända vad som helst på en gång.
Frågan är med webbgränssnittet; Det gör det möjligt för en angripare att inspektera om en användares mobiltelefon redan är registrerad, vilket möjliggör för en trög men effektiv uppräkningattack. När angriparen upptäcker en registrerad enhet är allt de krav på att skicka ett SMS, eftersom meddelanden inte är autentiserade av spisen, inte SIM-kortet är så mycket som skicka meddelandena som är registrerade när de är registrerade.
Detta är ganska störande, vad om någon lämnade en tehandduk på hällen eller något annat brandfarligt material innan du lämnar jobbet, bara för att komma tillbaka till en stack av aska? Detta är en sex-gazillion BTU spis samt ugn, trots allt. Det verkar bara som det mycket mer länkade vi är i den här digitala åldern så mycket som vi hamnar som är mottagliga för attacker, affärer verkar lika väl hektisk att försöka driva sina produkter ut genom dörren för att göra enkla säkerhets- och säkerhetskontroller.
Innan du lämnar sårbarheten, försökte [Pen Test Partners] komma i kontakt med AGA med Twitter och slutade vara blockerade. De ringde runt och försökte komma i kontakt med med någon som ens förstod vad IoT eller säkerhet och säkerhet menade. Det tog lång tid men slutligen hanterade de för att komma med till någon från det tekniska supporten. Förhoppningsvis kommer Aga att rulla ut några uppdateringar snart. Företagets motvilja att göra något om detta säkerhets- och säkerhetsproblem framhäver exakt hur ibland avslöjande inte är tillräckligt.
[Via Pen Test Partners]
