Ernstig lek in slimme thermostaat na bijna 2 jaar gepatcht
Een ernstig beveiligingslek in een slimme thermostaat waardoor aanvallers op afstand toegang tot het apparaat konden krijgen is na bijna 2 jaar door de fabrikant gepatcht. Het gaat om de ComfortLink II-thermostaten van de Amerikaanse fabrikant Trane, die met internet verbonden zijn. Via het "slimme" gedeelte van de thermostaat kunnen gebruikers de temperatuur via internet instellen.
Netwerkgigant Cisco waarschuwde Trane in april 2014 voor drie kwetsbaarheden in de slimme thermostaat waardoor een aanvaller op afstand toegang kon krijgen en het apparaat volledig kon overnemen. Vervolgens zou de aanvaller via de thermostaat het lokale netwerk kunnen verkennen, om zowel lokaal als online aanvallen uit te voeren of de thermostaat voor andere "kwaadaardige operaties" op internet te gebruiken, aldus Cisco.
Een jaar later, in april 2015, verhielp Trane twee van de drie gerapporteerde kwetsbaarheden. Het gevaarlijkste lek bleef echter ongepatcht. Het ging om twee accounts met zogenoemde 'hardcoded' wachtwoorden. Via deze vaste wachtwoorden kon een aanvaller op afstand via ssh inloggen en volledige controle over het apparaat krijgen. Deze kwetsbaarheid werd eind januari van dit jaar via een firmware-update gepatcht.
Volgens Cisco maken Internet of Things-apparaten het leven gemakkelijker, maar laten de gevonden kwetsbaarheden zien hoe gevaarlijk het is als dergelijke apparatuur onveilig wordt ontwikkeld. In het geval van Trane werden de regels voor veilig ontwikkelen niet gevolgd, waardoor een aanvaller het apparaat kon overnemen en infecteren. Een bijkomend risico is dat veel gebruikers dit soort apparaten op hun netwerk vergeten, waardoor zelfs in het geval van een update die niet wordt geïnstalleerd, waardoor de apparaten kwetsbaar blijven.
het ding legitiem willen benaderen ook mee verbinden. Dan heb je ook niet het probleem van het afhandelen van inkomende
connecties via een onbekende internet aansluiting.
De apparaten zijn dan hooguit nog via die server te hacken, en daar heb je als ontwikkelaar voortdurend zicht op zodat
je dit kunt fixen met filter regels e.d. En je kunt meteen functionaliteit voor automatisch updaten van de devices regelen
als je dat wilt.
Zo weiger ik de "slimme" meter, gewoon omdat ik slim ben.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.