На конференции DEF CON в Лас-Вегасе Манро и Тирни продемонстрировали proof-of-concept вымогателя, который был создан для атак на умные термостаты. Мишенью для своего хака эксперты выбрали устройство с большим дисплеем, которое работает под управлением модифицированной версии Linux и имеет слот для SD-карты, что позволяет пользователям загружать кастомые обои. Ни производителя, ни модель устройства исследователи не называют. Исследователи рассказывают, что IoT-девайс вообще не проверят, какие именно файлы на него загружают и что именно он запускает. К тому же, практически все процессы термостата работают с root-привилегиями, что только облегчило задачу исследователям. Манро и Тирни загрузили на устройство файл JavaScript, размером 7 Мб, при помощи которого отправили запрос SQL базе данных и заставили Linux выполнить ряд команд. "Он доводит температуру до 99 градусов [37,2 по Цельсию], а затем запрашивает PIN-код для разблокировки, который меняется каждые 30 секунд. Мы подключили к делу IRC-бота, исполняемый файл обращается к каналу и использует MAC-адрес [устройства] как идентификатор. Чтобы разблокировать устройство, нужно заплатить выкуп в биткоинах", — рассказал Эндрю Тирни. В данном случае для заражения термостата вымогателем исследователи воспользовались конкретной уязвимостью в этой модели устройств, но отказались раскрывать подробности о баге, так как еще не сообщили о проблеме производителю. Исследователи признают, что показанная на конференции атака далека от идеала. В настоящее время для взлома термостата нужен либо физический доступ к устройству, либо нужно каким-то образом убедить владельца девайса закачать на него вредоносный файл. Однако Манро и Тирни объяснили, что придумали эту схему атаки буквально за один вечер, собираясь на конференцию, так что у них не было времени, чтобы отточить атаку. "Вы не просто покупаете IoT-устройство, вы приглашаете людей в свою сеть, понятия не имея, на что способна эта штука", — предупреждает Эндрю Тирни, говоря о небезопасности IoT-устройств в целом.
Исследователи Кен Манро (Ken Munro) и Эндрю Тирни (Andrew Tierney) из британской фирмы Pen Test Partners продемонстрировали, что уязвимости IoT-устройств могут принести злоумышленникам выгоду. Эксперты создали вымогательскую малварь, заражающую термостаты.