Truffle Security’den Siber Güvenlik Araştırmacısı Dylan Ayrey Ayrıntılı bir blog yazısı paylaştı Sekiz uyku akıllı yatak ile deneyimini vurgulamak, ürün yazılımının içinde maruz kalan bir AWS anahtarını keşfettiğinden, güvenlik sorunlarını derinlemesine araştırmasını ve onları hafifletmenin yollarını bulmasını istedi. AWS anahtar sorununun yanı sıra, SSH (Güvenli Kabuk) arka kapı erişimine ve tam keyfi kod yürütme özelliklerine izin veren bir arka kapı keşfetti, sekiz uyku yatağını sadece yatak gözetim endişeleri için değil, bir ev ağında saklamak için güvensiz bir cihaz haline getirdi, ancak güvenlik ilgili tüm cihazların.
Aralık ayında Ayrey, @InSecurenature hesabından bir tweet yaptı. Tahmin et ne cihaz Onun büyük AWS kilit güvenlik sorunu vardı ve bu, SSH arka kapı hakkında konuşmaya başlamadan önce, yatakta keyfi kod yürütülmesine izin verdi.
Şimdiye kadar hızlı bir şekilde ilerleyin ve Dylan Ayrey, Jake King’in sekiz uykunun güvenlik kusurlarını ve onları artık bir sorun haline getirmek için attığı adımları vurgulayan genişletilmiş bir blog yayınladı, özellikle de yaralanan özellikler karşısında, UP, bir abonelik ödeme duvarının ve internet erişiminin başlaması için zaten 2.000 dolara mal olan bir yatak için kilitlendi.
Dylan’a göre, bu dezavantajların çoğuyla başa çıkmaktan çok mutluydu, ancak yine de Sekiz Sleep’in sıcaklık kontrollü akıllı yatağının ürün yazılımında neyin saklanabileceğini merak ediyordu. Keşfi ona ciddi bir “siber ick” vakası verdi ve onun yerine sıcaklığı düzenli bir akvaryum soğutucu ile düzenlemek için kullanılan sekiz uyku baklasını değiştirmesini istedi, bu da görünüşte yatağı aynı şekilde ısıtır ve sadece 150 dolara mal olur . Bu, sekiz uyku kapsülüne yönlendirilen tüplerden birini kesmeyi ve bunun yerine bir akvaryum soğutucusuna bağlamayı içeriyordu, ancak “uygulamalar, abonelikler, internet bağlantısı, hiçbiri ile sekiz uykunun tüm sıcaklık kontrolünü sağlayan oldukça basit bir çözüm olduğunu kanıtladı. Sekiz uykunun arka kapıları ve güvenlik yükümlülükleri “.
Ama tam olarak ne var olan Bu güvenlik yükümlülükleri? Hesap güvenliği ile ilgili nedenlerden ötürü kötü olan (muhtemelen kullanıcının kendisi olmasa da) en büyük sorun, en büyük sorun Backdoor SSH (Güvenli Kabuk) erişimidir. Görünüşe göre sekiz uyku mühendisinden herhangi biri, bir müşterinin yatağına erişmek, kullanımda veya kullanım dışında olduğunu tespit etmek ve istedikleri keyfi kodu yürütmek için SSH’yi kullanabilir. Bu çoğunlukla yatak kontrolü ve yatak izleme işlevselliği anlamına gelirken, görüşünüzü yatağın kendisiyle sınırladığınızda, akıllı yatağın ev ağınızın geri kalanına bağlı olduğunu ve böylece bu cihazları da tehlikeye attığınızda çok daha ürkütücü olur.
