Nieuws
image

Smartphones kwetsbaar door lek in WeMo-huisautomatisering

woensdag 2 november 2016, 16:00 door Redactie, 4 reacties

Onderzoekers hebben in de WeMo-huisautomatisering van Belkin en de bijbehorende Android-app kwetsbaarheden ontdekt waardoor aanvallers zowel de apparaten als smartphones waarmee ze worden bediend kunnen aanvallen. Via de WeMo-producten zijn allerlei apparaten in huis te bedienen.

Zo is het mogelijk om via de Android-app door WeMo aangesloten apparaten aan en uit te zetten, waar ze zich ook bevinden. Ook is het mogelijk om televisies, lampen, stereo-installaties, elektrische kachels, ventilatoren en andere apparaten draadloos te bedienen. Een aanvaller die toegang tot de smartphone van een gebruiker heeft kan een WeMo-product kwaadaardige instructies geven en bijvoorbeeld onderdeel van een botnet maken.

Belkin is gisteren met een update voor het probleem gekomen. Gebruikers moeten die echter wel zelf installeren. Belkin laat echter weten dat gebruikers via de Android-app voor de beschikbare update worden gewaarschuwd. Een aanvaller kan via de kwaadaardige instructies echter ook het updateproces saboteren, zodat het apparaat niet meer is te updaten.

Android-aanval

De tweede kwetsbaarheid bevond zich in de WeMo Android-app. Een aanvaller die toegang tot het netwerk van de gebruiker had kon willekeurige JavaScript-code in de context van de Android-app uitvoeren. Zodra de WeMo-app wordt gestart probeert het alle WeMo-producten in de buurt te vinden. Het is echter mogelijk om de naam van een apparaat door JavaScript-code te vervangen, die vervolgens door de smartphone of tablet wordt uitgevoerd.

De WeMo-app heeft van zichzelf toegang tot de locatie, bestandsopslag, camera, wifi-verbinding, adresboek, gebruikersaccounts en telefoonmogelijkheden. Een aanvaller zou via de aanval toegang tot alle foto's op een toestel kunnen krijgen en de locatie van het toestel kunnen volgen. In augustus werd deze kwetsbaarheid al in de Android-app gepatcht.

De beveiligingslekken werden door onderzoekers Scott Tenaglia en Joe Tanen van beveiligingsbedrijf Invincea ontdekt. "In het verleden maakten mensen zich misschien geen zorgen als er kwetsbaarheden in hun met internet verbonden lampen of crockpot werden gevonden, maar nu wij hebben ontdekt dat fouten in IoT-systemen ook gevolgen voor hun smartphones kunnen hebben, zullen mensen beter opletten", aldus Tenaglia. Tijdens de Black Hat Europe-conferentie deze week zullen de onderzoekers een presentatie over de kwetsbaarheden geven, zo melden Dark Reading en SecurityWeek.

Image

Reacties (4)
03-11-2016, 00:43 door Anoniem
De WeMo-app heeft van zichzelf toegang tot de locatie, bestandsopslag, camera, wifi-verbinding, adresboek, gebruikersaccounts en telefoonmogelijkheden
Waarom?!? Dan zouden toch gelijk alle privacy alarmbellen af moeten gaan?
Een app die je stopcontact bedient heeft geen toegang tot je adresboek nodig. Je kan er immers niet mee bellen.
03-11-2016, 09:06 door Anoniem
Een aanvaller die toegang tot de smartphone van een gebruiker heeft kan
Stop maar. Een aan aller met toegang tot een smartphone kan vaak alles wat de gebruiker zelf kan. Dan heeft de gebruiker al een groter probleem.dat komt niet door de kwetsbaarheden in deze software. Sensatoezoekerij.
03-11-2016, 09:41 door Anoniem
Door Anoniem:
Een aanvaller die toegang tot de smartphone van een gebruiker heeft kan
Stop maar. Een aan aller met toegang tot een smartphone kan vaak alles wat de gebruiker zelf kan. Dan heeft de gebruiker al een groter probleem.dat komt niet door de kwetsbaarheden in deze software. Sensatoezoekerij.
Nee, lees de zin even af voor je stopt om te reageren:
Een aanvaller die toegang tot de smartphone van een gebruiker heeft kan een WeMo-product kwaadaardige instructies geven en bijvoorbeeld onderdeel van een botnet maken.
Dat gaat heel wat verder dan wat een fancy afstandsbediening zou moeten kunnen, en dus gaat het verder dan wat een eventuele aanvaller met toegang tot die fancy afstandsbediening tot elkaar zou moeten kunnen krijgen. En dus is er wel degelijk sprake van een kwetsbaarheid.
04-11-2016, 00:08 door Anoniem
Door Anoniem:

Een aanvaller die toegang tot de smartphone van een gebruiker heeft kan
Stop maar. Een aan aller met toegang tot een smartphone kan vaak alles wat de gebruiker zelf kan. Dan heeft de gebruiker al een groter probleem.dat komt niet door de kwetsbaarheden in deze software. Sensatoezoekerij.
Dat gaat heel wat verder dan wat een fancy afstandsbediening zou moeten kunnen, en dus gaat het verder dan wat een eventuele aanvaller met toegang tot die fancy afstandsbediening tot elkaar zou moeten kunnen krijgen. En dus is er wel degelijk sprake van een kwetsbaarheid.
Neem jij ook een beveiliger serieus die zegt dat jou verwarming onveilig is omdat een inbreker die in je huis is de gasleidingen kan beschadigen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search