Amióta az Internet elterjedt és eléggé olcsóvá is vált az emberek számára egyre több olyan eszköz látott napvilágot melyek a kényelmet hozták el otthonunkba. Ezek az IoT eszközök melyek összeköttetésben vannak a belső hálózatunkkal és így az Internettel is. Jellemző rájuk, hogy kívülről elérhetőek a folyamatos Internetes kapcsolatunk révén és így bármikor kiadhatunk „parancsokat”. Ilyen pl.: a fűtés beállítása mire hazaérünk, esetleg a hűtő sör állapotának ellenőrzése és rendelése megfelelő mennyiségben. Vezérelhetjük a kameráinkat, égőinket, hűtőt, porszívót, garázskaput, kávéfőzőt, mosogatógépet stb. Családjaink Internetes forgalmába belepillanthatunk, lekapcsolhatunk ezt-azt, korlátozhatunk, urak lehetünk, és ezzel együtt feláldozhatjuk a biztonságot a kényelem oltárán (és ezt sokan meg is teszik).
A probléma ezekkel az eszközökkel, hogy olyan gyorsan hozzák ki és ömlesztik tele a piacot a gyártók, hogy elmarad a biztonsági tesztelésük. Ezt utólagosan mind a két oldal (tehát a biztonsági szakemberek és a biztonságot kihasználók) nagyszámban kielemzi és elkönyvelik. Míg az egyik CVE-ket nyit és jelzi a gyártónak, hogy ezt meg azt találta és ezt és azt lehet vele az adott készüléken elérni addig a másik tábor szépen ki is használja ezeket. A gyártók nem veszik a fáradtságot, hogy kijavítsák vagy egy távoli időpontot adnak meg a javítási csomag elérhetőségére.
Így van ez a Medfusion 4000 Wireless Syringe Infúziós pumpák esetében is, ahol 3 verziószámú egység olyan szinten érintett, hogy az arra rákötött beteg halálát is okozhatja. Négy CVE-t adtak ki az eszköz sérülékenységre melynek kijavítását a cég 2018 januárjára határozta meg. Addig is, míg letelik az öt kritikus hónap a javítás megjelenéséig az ICS-CERT javasolja, hogy az eszközök kerüljenek le a hálózatról / FTP kiszolgáló deaktiválva legyen / statikus IP legyen az eszközhöz hozzárendelve / nem használt portok tiltásra kerüljenek / VLAN beállítások felülvizsgálatát / hálózati forgalom monitorozását / erős jelszó használatát / sűrű mentések használatát. A listából is látszik, hogy egy szimpla eszköz mennyi szolgáltatással lett kialakítva, eladva és beüzemelve, de biztonsági szempontból nem tesztelve.
A védtelen IoT eszközeink könnyen felhasználhatóak támadásra, kémkedésre, zavarkeltésre, információlopásra, emberélet veszélyeztetésre. Ildomos IoT eszközök vásárlása előtt körbenézni, hogy melyik termékek biztonságosak, kapnak-e biztonsági frissítéseket, foglalkozik-e a gyártó későbbiekben a termékeivel vagy sem.
