image

Onderzoeker vindt lek in slimme ovens van Aga

donderdag 13 april 2017, 11:03 door Redactie, 9 reacties

Een onderzoeker heeft een beveiligingslek in de slimme ovens van de Britse fabrikant Aga ontdekt waardoor het mogelijk is om de apparaten op afstand in- en uit te schakelen. Aga produceert gietijzeren, warmteopslag fornuizen en ovens. Sommige van de ovens zijn via een app op afstand te bedienen.

Waar de gebruiker zich ook in de wereld bevindt, op elk moment kan de oven worden ingeschakeld zodat het eten op het juiste moment klaar is. Voor eigenaren die niet over een smartphone, tablet of laptop beschikken is het mogelijk om sms-berichten naar de oven te sturen. Op deze manier kan de oven ook worden in- en uitgeschakeld. Gebruikers kunnen zich via een webspagina voor het "op afstand koken" aanmelden. De website maakt geen gebruik van https, waardoor gegevens onversleuteld worden verstuurd. Daarnaast is het via de webpagina mogelijk om van alle gebruikers die zich hebben geregistreerd het telefoonnummer te achterhalen.

Verder blijkt dat Aga een wachtwoordbeleid van minimaal 5 karakters hanteert. "Dit is onverantwoord van Aga; de ovens van klanten zullen worden gecompromitteerd", zegt onderzoeker Ken Munro van het Britse beveiligingsbedrijf Pen Test Partners. Verder blijkt dat Aga ook niet het telefoonnummer of het account controleert. Zodoende is het mogelijk voor kwaadwillenden om de ovens in- of uit te schakelen. Alleen het versturen van een sms-bericht zou volstaan. Ook de webinterface biedt mogelijkheden voor misbruik. Zo kunnen er op kosten van AGA allerlei sms-berichten worden verstuurd.

Munro probeerde het bedrijf op 30 maart via Twitter te waarschuwen, maar kreeg geen reactie. Op 3 april stuurde hij naar verschillende e-mailadressen een e-mail, maar ook dit leverde geen reactie op. Een paar dagen later bleek Aga de onderzoeker op Twitter te hebben geblokkeerd. Munro besloot daarna het bedrijf te bellen en kreeg uiteindelijk iemand te spreken. De onderzoeker adviseerde de website uit de lucht te halen totdat de kwetsbaarheden zijn verholpen, maar het bedrijf wilde geen toezeggingen doen. Daarop heeft Munro zijn bevindingen openbaar gemaakt.

Reacties (9)
13-04-2017, 11:08 door Anoniem
Een paar dagen later bleek Aga de onderzoeker op Twitter te hebben geblokkeerd.
!?
13-04-2017, 12:56 door Anoniem
Wat heb je eraan als je niet op afstand je aardappels kunt schillen, je groente schoonmaken, in de pan doen en op afstand de pannen op het fornuis zetten.
13-04-2017, 13:49 door Vandy
Om maar in oven-termen te blijven: ze bakken ze bruin, daar bij Aga. Inmiddels is de site trouwens wel offline ("Maintenance").
13-04-2017, 14:27 door Anoniem
Nou, gooi alle pasgekochte huistelefoons met antwoordapparaat ook maar in de prullebak dan. Die controleren ook niet de bron, en je kunt het antwoordapparaat op afstand uitluisteren met een pincode van slechts 4 cijfers.
Deze communicatie is niet versleuteld, en mijn telefoonnummer is op te zoeken.
Onverantwoordelijk...
13-04-2017, 14:47 door Briolet
Door Anoniem: Wat heb je eraan als je niet op afstand je aardappels kunt schillen,…

Er zijn mensen die de maaltijd 's ochtends al in de oven zetten met een timer zodat het eten klaar staat als ze thuis komen. In mijn oven kun je b.v. instellen hoe laat het eten klaar moet zijn en hoe lang de bereidingstijd is. Dan hoef je er zelf niet over na te denken wanneer de oven moet opstarten. (sommige mensen zijn 's ochtends nog niet helder).
De Nederlanders koken niet zoveel in ovens, maar in Engeland is het heel gebruikelijk om de maaltijd in een oven te bereiden.

Alleen bij een AGA snap ik dit niet. Dat is zo'n blok staal dat je de oven al uren uur van te voren moet aanzetten. Ik ken mensen met zo'n Aga die hem daarom nooit uit zetten. Bij zo'n oven heeft het dus geen zin om je maaltijd er al 's ochtends in te zetten.
13-04-2017, 17:25 door Anoniem
Door Briolet:
Door Anoniem: Wat heb je eraan als je niet op afstand je aardappels kunt schillen,…

Er zijn mensen die de maaltijd 's ochtends al in de oven zetten met een timer zodat het eten klaar staat als ze thuis komen. In mijn oven kun je b.v. instellen hoe laat het eten klaar moet zijn en hoe lang de bereidingstijd is. Dan hoef je er zelf niet over na te denken wanneer de oven moet opstarten.
LOL made my day
13-04-2017, 18:14 door Anoniem

Verder blijkt dat Aga een wachtwoordbeleid van minimaal 5 karakters hanteert. "Dit is onverantwoord van Aga; de ovens van klanten zullen worden gecompromitteerd", zegt onderzoeker Ken Munro van het Britse beveiligingsbedrijf Pen Test Partners.
Dat hoeft helemaal niet! Als de gehashte wachtwoorden niet gelekt worden of er is niet bekend hoe ze gehashed zijn,
en er zit een beveiliging op de site (bijvoorbeeld dat je maar enkele keren kunt inloggen en bij teveel foute pogingen
geblokkeerd wordt, eventueel tijdelijk) dan is dat beslist niet zo.
Als je je geloofwaardigheid als deskundige niet teveel wilt verpesten moet je vooral niet aankomen met het verhaaltje
dat wachtwoorden altijd lang moeten zijn en anders gekraakt worden.

Door Briolet:
Alleen bij een AGA snap ik dit niet. Dat is zo'n blok staal dat je de oven al uren uur van te voren moet aanzetten. Ik ken mensen met zo'n Aga die hem daarom nooit uit zetten. Bij zo'n oven heeft het dus geen zin om je maaltijd er al 's ochtends in te zetten.

Dan kan het toch weer nuttig zijn om de oven op afstand aan te zetten zodat die al heet is als je thuis komt en je er
meteen de maaltijd in kunt zetten in plaats van eerst op het opwarmen te wachten??
14-04-2017, 09:27 door Anoniem
Door Briolet:
Er zijn mensen die de maaltijd 's ochtends al in de oven zetten met een timer zodat het eten klaar staat als ze thuis komen. In mijn oven kun je b.v. instellen hoe laat het eten klaar moet zijn en hoe lang de bereidingstijd is.
Door Anoniem: Dan kan het toch weer nuttig zijn om de oven op afstand aan te zetten zodat die al heet is als je thuis komt en je er meteen de maaltijd in kunt zetten in plaats van eerst op het opwarmen te wachten??
Dat kan ook met een timer die je 's ochtends instelt.

Het nut van het kunnen instellen op afstand lijkt me beperkt tot wanneer je vergeten was het te regelen voor je de deur uitging of wanneer je op dat moment nog niet weet wanneer je weer thuis zal zijn of nog niet besloten hebt wat je gaat eten. Maar dat is vrij eenvoudig op te vangen door in die situaties te kiezen voor maaltijden die minder veeleisend zijn. Als je een wat groter project van het voorbereiden een maaltijd gaat maken dan vind ik het niet gek om daar niet pas op het laatste moment concentratie voor op te brengen, en dan neemt de toegevoegde waarde van dit soort mogelijkheden weer af.

Het lijkt vooral een van die "cool dat het kan"-gimmicks te zijn die het risico op misbruik van lekken wat mij betreft in de verste verte niet waard is.
14-04-2017, 22:56 door Anoniem
Dus, dat eten staat de hele dag in de oven, blootgesteld aan zuurstof en niet gekoeld...
Droogt dus lekker uit en houd ook maar rekening met een fikse bacteriënvermeerdering. Eet smakelijk!
Kan Astor - de trouwe viervoeter - de verleiding weerstaan om te proberen de ovendeur te openen?
Ook zonder huisdieren kan er nog genoeg misgaan bij voedselbereiding als er niemand bij is om in te grijpen.

Weer een gevalletje luiheid/gemakzucht wat nauwelijks voordelen biedt maar wel risico's met zich mee brengt.

En zo moeilijk is het nou ook weer niet om zelf binnen een half uur een gezonde maaltijd op tafel te zetten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.