Onderzoeker vindt lekken in wifi-thermostaat Heatmiser
Een beveiligingsonderzoeker heeft tal van lekken in de slimme wifi-thermostaat van fabrikant Heatmiser ontdekt waardoor het mogelijk is om het apparaat via het web over te nemen. De wifi-thermostaat laat gebruikers op afstand via een app en een webinterface de thermostaat instellen en regelen.
Onderzoeker Andrew Tierney ontdekte als eerste dat het apparaat een standaard gebruikersnaam en pincode gebruikt en gebruikers niet verplicht die te wijzigen als ze het toestel voor het eerst instellen, ook al is de Heatmiser toegankelijk via het internet. Verder is het mogelijk zodra een gebruiker op de thermostaat is ingelogd om alle wifi-gegevens, zoals gebruikersnaam, wachtwoord, SSID en wifi-wachtwoord in platte tekst te bekijken.
Verder blijkt dat het apparaat geen controle uitvoert zodra de invoer van gebruikers is ingevoerd. Daardoor is het mogelijk om al dan niet gevaarlijke acties uit te voeren zonder dat die worden gevalideerd door de thermostaat. Een ander probleem is dat er geen bescherming tegen brute force-aanvallen aanwezig is. Wat het mogelijk maakt om de viercijferige pincode te achterhalen.
Met een snelheid van 2 pincodes per seconde is het mogelijk om in anderhalf uur via het internet alle 10.000 mogelijke combinaties te proberen. Daarnaast is het niet mogelijk om de firmware in het apparaat zelf te updaten, maar moet dit fysiek door een programmeur worden gedaan.
Ook is het mogelijk om pagina's en menuonderdelen zonder authenticatie te bereiken en zo zijn er nog verschillende andere problemen die Tierney ontdekte. Uiteindelijk besloot hij niet verder te kijken, maar hij stelt dat er waarschijnlijk nog genoeg andere zwakke plekken zijn. Via een scan op internet op poort 8086 ontdekte hij zo'n 7.000 thermostaten, voornamelijk in de Verenigde Staten, gevolgd door Frankrijk en Italië.
Reactie
De onderzoeker waarschuwde Heatmiser en ontving een reactie dat er aan een update voor de gevonden problemen wordt gewerkt. In de tussentijd zou het bedrijf klanten adviseren om poort 80 op hun wifi-thermostaat te sluiten. Volgens een reactie op Reddit moet er een internationale standaard komen voor de "Internet of Things". Teveel bedrijven zouden namelijk niet naar de veiligheid van hun apparatuur omkijken.
In een andere reactie wordt gepleit voor de introductie van een grafisch beoordelings- of scoresysteem, zodat mensen snel kunnen kijken wat een apparaat op het gebied van veiligheid scoort. Het gaat dan bijvoorbeeld om zaken als de mogelijkheid om zichzelf te updaten, het afdwingen van veilige inloggegevens en versleutelde communicatie.
Voor mij geen slimme meter en nu ook geen slimme thermostaat in m'n huis!
Het scheelt dat een slimme meter bij mij wetende geen gebruik maakt van het wifi-netwerk van de bewoner van het huis. Echter sta ik ook zowel de slimme thermostaat als de slimme meter niet toe te juichen (ik draai liever gewoon aan een knop op de thermostaat om de temperatuur in huis te regelen :-)
waneer is iemand thuis, waneer is iemand weg, deze gegevens kan verkocht worden, (evt aan criminelen).
Nu kan het op afstand en op iedere willekeurige dag .
Wat zal de 1e in de vriendenkring die zo 'slim' is deze thermostaat aan te schaffen toch vaak zijn poten branden aan de verwarming op warme zomerse nachten .... heerlijk !
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.