Petteri Pyyny
28. maaliskuuta, 2017 9:09
Suomessakin varsin suosittu kodinkonevalmistaja Miele on päätynyt uusimman "esineiden internetin" kohun keskelle. Yhtiön valmistamasta astianpesukoneesta on tietoturva-aukko, jota ei ole paikattu.
Mielen älykäs astianpesukone, jota voidaan hallinnoida verkon yli suoraan selaimella, sisältää varsin tyypillisen käyttäjän antamiin muuttujiin ja niiden tarkistukseen perustuvan tietoturva-aukon. Käytännössä astianpesukone sisältää täydellisen web-palvelimen, mutta käyttäjille näkyvä hallinnointisovellus ei tarkista käyttäjän syöttämien arvojen "puhtautta" ja sallii näin mm. pääsyn web-palvelimen muihinkin hakemistoihin ns. directory traversal-aukon kautta.
Ongelma tuntuu syntyneen siitä, että Miele on lähtökohtaisesti kodinkonevalmistaja eikä nettifirma, joten yhtiöllä ei ole käytäntöjä siitä, miten tietoturva-aukoista raportoidaan yhtiölle päin ja miten ne tulisi käsitellä. Aukon löytänyt Jens Regel kertoo ilmoittaneensa yhtiölle aukosta jo viime vuoden marraskuussa, mutta aukko on edelleen paikkaamatta.
Kyseessä oleva astianpesukone ei ole koteihin tarkoitettu malli, vaan nimenomaan suurkeittiöihin ja vastaaviin tiloihin tarkoitettu Mielen PG 8528.
Tapaus lienee jällen hyvä muistutus siitä, että vaikka kaikki laitteet voidaankin pikkuhiljaa kytkeä nettiin, kannattaa harkita tarkkaan, kannattaako se (kts. mm. aiempi juttumme älydildoista).