ארה"ב: משתמשי מיזוג אוויר של LG בארה"ב יכולים כעת לזכות באפקט נוסף מהיחידות שלהם בעקבות קשר עם חברת ניהול האנרגיה למגורים OhmConnect.
השילוב של תוכנית Demand Response של OhmConnect באפליקציית LG ThinQ תאפשר לצרכנים לקצור את הפירות מהניהול האוטומטי של מזגני LG שלהם בתקופות של ביקוש שיא לרשת.
"יחד עם OhmConnect, אנו יוצרים מערכת אקולוגית משולבת בת קיימא כדי לשפר את האמינות והחוסן של הרשת, תוך סיוע לבעלי בתים לחסוך יותר כסף בחשבונות האנרגיה ולהפחית את טביעת הרגל הפחמנית שלהם", אמר Jae Ahn, ראש תחום ThinQ ב-LG Electronics USA.
OhmConnect יוצרת בתים המחוברים לרשת המאפשרים אנרגיה מתחדשת, מערכות אחסון אנרגיה, טכנולוגיית HVAC וטכנולוגיות אחרות של בית חכם כדי לחזק ולחדש את תשתית האנרגיה
אחרי שהם פתחו את עינית המזגן וחילצו את התוכנה, הם גילו את שרת ה-MQTT של אלקטרה. בקצרה, זהו הפרוטוקול המאוד נפוץ של מוצרים ושירותי IoT, שבפועל מאפשר למכשירים לדבר האחד עם השני. בשלב הזה הם החליטו לפתוח הוטספוט עם SSID (שם רשת) זהה לזה של הרשת של הקונטרולר של המזגן. ברגע שהם ביצעו Troubleshoot דרך האפליקציה, היא ביקשה להתחבר ל-SSID באופן ידני, ובאמצעות Sniffer ו-Listener הם הצליחו לראות את בקשת ה-HTTP שנשלחה על ידי האפליקציה, מה שחשף על הדרך את הסיסמה, את ה-Token שמשמש את שרת ה-MQTT, וגם היווה חלק משם המשתמש של אלקטרה. בקיצור: הם מצאו לכאורה את עצמם עם כל הפרטים שהם צריכים כדי להיכנס לשרתים של המזגן, שעל פיהם ממוקמים בסין.
וזה בדיוק מה שהם עשו. בתוך השרת הם גילו לטענתם את כל המזגנים של אלקטרה שמחוברים לרשת. כשהם רצו לבדוק אם הם יכולים לשלוט בהם, הם איתרו מכר משותף שיש לו מזגן זהה של אלקטרה, וביקשו ממנו את הרשות להשתלט עליו מרחוק. לטענתם, הם הצליחו להדליק, לכבות וגם לשנות את הטמפרטורה של המזגן שלו – מרחוק – ואמנם הם לא המשיכו לגלגל את המתקפה, אבל תיאורטית הם סבורים שהם יכלו לעשות את זה לכל מזגן מחובר של החברה, ולדבריהם, הם נחשפו לכ-50 אלף מזגנים בעלי יכולות חכמות שהם יכלו לשלוט עליהם. את תגובת אלקטרה מוצרי צריכה לתרחיש הזה הבאנו במלואה בסוף הכתבה, אבל על פי החברה, לא מדובר בסיכון של ממש, כי מדובר רק בכיבוי או שינוי של טמפרטורת מזגן. אנחנו לא מסכימים עם העמדה הזו, כי לדעתנו, מעבר לאי-נוחות, שינוי בטמפרטורה יכול לגרום נזקים כשמדובר במכשירים שזקוקים לשמירה על טמפרטורות מסוימות כמו מחשבים, שרתים, מחסנים ועוד. בהמשך, אגב, חוקרי האבטחה גילו שהשרת לא דרש אימות הסיסמה.