Weerstation Netatmo stuurde wifi-wachtwoord naar de cloud
Een persoonlijk weerstation van het Franse Netatmo dat ook in Nederland wordt verkocht stuurde het wachtwoord van het wifi-netwerk, alsmede andere gegevens, onversleuteld naar de cloud van de ontwikkelaars. Dat ontdekte Johannes Ullrich van het Internet Storm Center (ISC).
Via het Netatmo-weerstation kunnen zaken als temperatuur en luchtvochtigheid, maar ook omgevingsgeluiden en co2 worden gemeten. De informatie is vervolgens via iOS of Android in grafieken terug te lezen. Het apparaat moet eerst op een computer worden aangesloten, waarna er verschillende zaken moeten worden ingesteld, waaronder het wifi-netwerk en bijbehorende wachtwoord. Het weerstation gebruikt deze informatie om met de cloud te communiceren.
Ullrich monitorde het netwerkverkeer van het apparaat en zag tot zijn verbazing dat het apparaat zijn WPA-wachtwoord onversleuteld naar de cloud stuurde, alsmede het MAC-adres van het weerstation, netwerknaam en wat andere gegevens. Ullrich rapporteerde het probleem aan de fabrikant en kreeg te horen dat het weerstation tijdens de eerste keer een geheugendump voor debugdoeleinden verstuurt. Er is nu een update uitgekomen die dit uitschakelt.
Slimme meters die op afstand door anderen kunnen worden gemanipuleerd en nu weer foute boel met een of ander weerstation dat aan het internet blijkt te hangen.
Eén ding weet ik wel: IoT komt voorlopig hier niet binnen.
Wat de kern van de zaak is, is dat er gegevens verstuurd worden die voor die internetkoppeling en voor het doel van
het apparaat niet relevant zijn. Dat komt helaas vaak voor. De kern is om DAT te voorkomen, niet om autistisch op
je zolderkamertje te gaan zitten zonder enige vorm van communicatie en samenwerken.
Wat ik wel een beetje raar vind is dat die onderzoeker "verbaasd is dat het onversleuteld gebeurde". Ik denk dat als het
versleuteld was hij er helemaal nooit achter gekomen was wat er precies verstuurd werd. Ik denk dat het goed is dat
dit soort communicatie onversleuteld gebeurt omdat je dan tenminste nog zicht erop hebt. Bij dit soort toepassingen is
er geen "man in the middle" risico, dus is versleuteling ongewenst.
Ik denk dat als ik zo iets gekocht had ik hem niet op mijn lokale netwerk zou hebben aangesloten maar een aparte SSID
had aangemaakt voor dit soort devices waar een aparte sleutel op zit en beperkte mogelijkheden. En wellicht MAC
filtering op dat netwerk. Dat moet je router wel kunnen natuurlijk.
Heel die markt staat nog in de kinderschoenen. De grote spelers die serieus zijn doen wel goede pogingen om het te beveiligen. De spelers die de markt willen overspoelen met troep en hier veel geld aannwillen verdienen komen hier later vast nog op terug. Maar voor de consument is het dan te laat.
Ja. Zo kun je remote zien of er iemand in je huis is. Dat zie je ook aan de toename van het CO2 gehalte in de ruimte.
Daarnaast biedt het een soort crowdsharing aan, waarbij je kunt zien wat de temperatuur in je buurt, stad, provincie of land is.
Zolang IPv6 nog geen gemeengoed is, zul je die devices via een soort proxy uit moeten lezen.
Andere devices bieden bijvoorbeeld wel een lokale webinterface waar je met wat programmeren zelf de gegevens uit kunt halen en op je eigen webserver, voor jezelf, beschikbaar kunt maken.
Beveilliging is iets dat fabrikanten moeten leren. De eerste auto's hadden ook niet vier schijfremmen, maar maar een trommelrem. Dit soort incidenten helpen erbij. Fabrikanten die niet leren, komen keer op keer negatief in het nieuws. Ze worden op een gegeven moment zelfs verboden. Op een gegeven moment blijven de veiligheid- en privacybewuste fabrikanten over.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.