Die in meinem Bett entdeckte Backdoor

 (trufflesecurity.com)
1 Punkte von GN⁺ 2025-02-22 | 1 Kommentare | Auf WhatsApp teilen

Jeff Bezos aus meinem Bett entfernen

  • Was ist Eight Sleep?

    • Es wird die Erfahrung geteilt, in einem IoT-Gerät AWS-Schlüssel gefunden zu haben.
    • In einem Bett wurde eine Backdoor entdeckt – einer der Gründe, warum Sicherheitsexperten internetverbundener unnötiger Geräte überdrüssig sind.

  • Funktionen und Probleme von Eight Sleep

    • Es ist ein Bett mit Temperaturregelung.
    • Wenn die Internetverbindung ausfällt, funktioniert es nicht, und für Grundfunktionen ist ein zusätzliches Abonnement erforderlich.
    • Es lässt sich nur über eine mobile App steuern.
    • Bei der Analyse der Firmware wurden Sicherheitsprobleme gefunden, woraufhin beschlossen wurde, nach einer einfacheren Lösung zu suchen.

  • Das Backdoor-Problem

    • Es wurde festgestellt, dass die Ingenieure von Eight Sleep sich per SSH auf die Betten aller Kunden aufschalten und beliebigen Code ausführen können.
    • Das ist ein schwerwiegendes Sicherheitsproblem, das die Privatsphäre der Kunden verletzen kann.

  • Die Risiken der AWS-Schlüssel

    • Die AWS-Schlüssel wurden für Daten-Streaming verwendet, wodurch das Risiko sehr hoher Kosten bestand.
    • Nach der Meldung des Problems zog Eight Sleep die Schlüssel zurück.

  • Eine Alternative mit einem Aquarienkühler

    • Die an der Eight-Sleep-Abdeckung angeschlossenen Gummischläuche können an einen Aquarienkühler angeschlossen werden, um die Temperaturregelung umzusetzen.
    • Diese Methode ist eine einfache Lösung, mit der sich Internetverbindung, Backdoor und Sicherheitsprobleme vermeiden lassen.

  • Fazit

    • Eight Sleep bietet ein innovatives Produkt, kann Nutzern aber durch Sicherheitsprobleme und das Abomodell Unannehmlichkeiten bereiten.
    • Mit einem Aquarienkühler lässt sich die Temperaturregelung auf sicherere und einfachere Weise nutzen.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-02-22
Hacker-News-Kommentare

  • Als jemand, der unter Schlaflosigkeit leidet, dachte ich, dieses Produkt hätte einen Wert

    • Ich kann das nachvollziehen, weil ich Ähnliches erlebt habe
    • Was mir geholfen hat, war eine White-Noise-Maschine, wie sie verwendet wird, um Babys zum Einschlafen zu bringen
    • Vorteil: Dank dieses Geräts konnte ich gut schlafen
    • Nachteil: Inzwischen kann ich ohne dieses Gerät nicht mehr gut schlafen und muss es auf Reisen immer mitnehmen
    • Eine weitere Methode, meinen Schlaf zu verbessern, war zu akzeptieren, dass das Leben ziemlich in Ordnung ist
    • Als mir klar wurde, dass meine Sorgen übertrieben waren, verbesserte sich meine Schlafqualität
    • Ich hoffe, diese Erfahrung hilft auch anderen

  • Der Sicherheitszustand des Produkts war nicht unerwartet, aber der folgende Teil war schockierend

    • Das Bett kostet $2,000
    • Es funktioniert nicht, wenn das Internet ausfällt
    • Grundlegende Funktionen sind hinter einem zusätzlichen Abonnement für $19/Monat versteckt
    • Das Bett kann ausschließlich über eine mobile App bedient werden
    • Das Produkt sollte nicht von externen Servern abhängen und kein Abonnement erfordern
    • Es ist bedauerlich, dass sich der Markt nicht gegen die Rent-Seeking-Strategien der Tech-Industrie wehrt

  • Ich hatte die Cyber-Probleme letztlich satt und beschloss, nach einem temperaturgeregelten Bett zu suchen, das weniger Internetverbindung benötigt

    • An dieser Stelle war ich hellwach
    • Sie können wissen, wann man schläft
    • Sie können erkennen, ob zwei Personen oder eine Person im Bett liegen
    • Sie können wissen, ob nachts niemand im Bett ist
    • Ich frage mich, ob Verbraucherpublikationen Sicherheitsreviews für Produkte machen
    • Irgendwo wie Consumer Reports sollte veröffentlicht werden, ob ein Produkt ein Sicherheitsalbtraum ist oder nicht
    • Letztlich müssen Menschen solche Informationen verbreiten, und Social Media sollte Verbraucher warnen

  • Was ist gemeint, wenn wir über eine Backdoor sprechen

    • Eight Sleep braucht eine Möglichkeit, Updates auszurollen, Dienste bereitzustellen und Support zu leisten
    • Aber dass jeder Engineer per Remote-SSH auf das Bett eines Kunden zugreifen und beliebigen Code ausführen kann, geht zu weit
    • Ich habe tatsächlich Belege dafür gefunden, dass genau das passiert

  • Meine Frau benutzt Bedjet, das eine Fernbedienung und eine App hat

    • Glücklicherweise funktioniert es auch ohne Internetverbindung
    • Es verwendet eine beutelartige Decke, in die Luft geblasen wird, um die Temperatur zu regulieren
    • Für Frauen in den Wechseljahren hilft Temperaturregulierung dabei, psychisch stabil zu bleiben

  • Manche Frauen leiden in der Perimenopause nicht stark, aber die Hormone haben enorme Auswirkungen

    • Ein Rat an Partner von Frauen in den Wechseljahren: Glaubt ihnen, was sie durchmachen
    • Viele Partner erkennen nicht, wie hart dieser Prozess ist

  • Es ist witzig, dass der CEO ein Anhänger von Musk ist

    • In Tweets verwendet er eine ähnliche Sprache: "Ein Teil von SF hat schlecht geschlafen. Das müssen wir beheben"

  • Ein Bett-Abo für $20/Monat ist objektiv lächerlich

    • Ich kann mir nicht vorstellen, wie diese Firma Kunden anzieht

  • Eight Sleep sammelt Bett-Daten von Menschen und twittert manchmal darüber, dass sie einem beim Schlafen zusehen

    • Das ist Grund genug, dieses Geschäft nicht zu nutzen
    • Ziemlich gruselig

  • Es scheint, als konzentriere sich Eight-Sleep-CEO Matteo darauf, DOGE guten Schlaf zu verschaffen

    • Es tauchen immer mehr Anhänger auf

  • Neben dem Bett steht ein esp32

    • Durch Aufzeichnen der RSSI-Stärke kann man erkennen, ob jemand im Bett war oder die Position gewechselt hat
    • Ein PIR erkennt Bewegung, aber schon RSSI-Tracking allein reicht aus
    • Ein Handy wäre ebenfalls gut geeignet, und manche SDKs werden die RSSI des Handys verfolgen, um zu prüfen, ob sich die Umgebung verändert hat
    • Das deutet auf vieles hin