Nieuws
image

Aanvaller kan robotstofzuiger door lek gebruiken voor spionage

vrijdag 20 juli 2018, 10:58 door Redactie, 15 reacties

Onderzoekers hebben in robotstofzuigers van fabrikant Diqee twee kwetsbaarheden ontdekt waardoor een aanvaller het apparaat kan overnemen en de eigenaar op afstand kan bespioneren. De stofzuigers beschikken over wifi, een webcam met nachtzicht en zijn via een smartphone te bedienen.

De eerste kwetsbaarheid maakt het mogelijk voor een aanvaller om op afstand willekeurige code uit te voeren. Door het versturen van een speciaal udp-verzoek is het namelijk mogelijk om commando's met "superuser" rechten uit te voeren, zo stelt securitybedrijf Positive Technologies dat de kwetsbaarheden ontdekte. Om de aanval uit te voeren moet de aanvaller zich wel eerst authenticeren. Volgens de onderzoekers is dit geen echt obstakel, omdat de stofzuigers allemaal dezelfde standaard gebruikersnaam en wachtwoord hebben.

Om de tweede kwetsbaarheid te misbruiken moet een aanvaller fysieke toegang tot de stofzuiger hebben. Dit beveiligingslek bevindt zich in het updatemechanisme van de stofzuiger. Zodra er een microSD-kaart is aangesloten zal het systeem firmwarebestanden vanuit een bepaalde map op de microSD-kaart met superuser-rechten uitvoeren, zonder dat hierbij de digitale handtekening van het bestand wordt gecontroleerd. Een aanvaller kan zodoende een speciaal script laten uitvoeren dat willekeurige code uitvoert, zoals een sniffer die wifi-data van andere apparaten onderschept.

"Net als andere IoT-apparaten kunnen deze robotstofzuigers aan een botnet worden toegevoegd voor het uitvoeren van ddos-aanvallen, maar dat is niet eens het ergste scenario, tenminste voor de eigenaren. Aangezien de stofzuiger over wifi, een webcam met nachtzicht en smartphonebediening beschikt, kan een aanvaller in het geheim de eigenaar bespioneren", aldus de onderzoekers.

Ze waarschuwen dat de kwetsbaarheden mogelijk ook in andere Internet of Things-apparaten aanwezig zijn die dezelfde videomodule als de Diqee-robotstofzuigers gebruiken. Het kan dan gaan om surveillancecamera's, digitale videorecorders en smart deurbellen. De onderzoekers vermelden niet of de gevonden kwetsbaarheden zijn verholpen.

Reacties (15)
20-07-2018, 12:36 door Anoniem
In wat voor maatschappij zijn we in vredesnaam terecht gekomen, als we zelfs de kinderspeelgoed, babyfoons en stofzuigers niet meer kunnen vertrouwen? Men zou bijna gaan terugverlangen naar de eenvoud van de jaren 1950.
20-07-2018, 14:04 door SPer
Door Anoniem: In wat voor maatschappij zijn we in vredesnaam terecht gekomen, als we zelfs de kinderspeelgoed, babyfoons en stofzuigers niet meer kunnen vertrouwen? Men zou bijna gaan terugverlangen naar de eenvoud van de jaren 1950.

Nou ja behalve het afwassen dan ;-)
20-07-2018, 14:14 door Anoniem
Door SPer:
Door Anoniem: In wat voor maatschappij zijn we in vredesnaam terecht gekomen, als we zelfs de kinderspeelgoed, babyfoons en stofzuigers niet meer kunnen vertrouwen? Men zou bijna gaan terugverlangen naar de eenvoud van de jaren 1950.

Nou ja behalve het afwassen dan ;-)

Dat doet de vrouw dan ;-)
20-07-2018, 14:40 door Anoniem
een webcam met nachtzicht
Opdat je ten alle tijden kunt kijken waar je robot zich bevindt?
20-07-2018, 15:33 door Anoniem
Door Anoniem:
Door SPer:

Nou ja behalve het afwassen dan ;-)

Dat doet de vrouw dan ;-)

Nou mooi niet!
Mijn zus en ik hebben in die jaren heel wat in de keuken gestaan om de vaat te doen (voor een gezin met totaal 8 personen). Moeder wist dat prima te delegeren en dit werk werd als heel normaal beschouwd. Elke avond, vaste prik! De overige kinderen waren nog te klein.
En ik weet dat we niet de enigen waren.

Toch hebben we er niet echt onder geleden, er waren andere dingen die (in een gezin) veel vervelender (of zelfs zeer ernstig) waren...
20-07-2018, 20:52 door Anoniem
Dit kan gewoon "stand alone" waarom toch via internet? Het is zo'n flauwekul.
Net als met automatische gordijnen: het hoeft niet op internet.
Het wordt vanzelf licht en weer donker en er bestaan lichtsensoren die dit aan een (micro)controller kunnen doorgeven
en dan regelt de onafhankelijke software wel wanneer ze (ongeveer) open en dicht gaan.
Ook een tijdelijk plotselinge donkere lucht hoeft weinig of geen invloed te hebben.

Voor wat betreft afwassen/afdrogen: op kantoor had ik er best plezier in.
Het is zoals met al dit soort dingen, hoe saai het ook is, maak er een feestje van.
20-07-2018, 21:45 door Anoniem
Met een stofzuiger moet je kunnen stofzuigen, verder niks. Je moet wel een halve zool zijn om een dergelijke robotstofzuiger te kopen met wifi, nachtzicht en al die onzin ingebouwd. Je haalt zelf die kwetsbaarheden in huis...
21-07-2018, 08:30 door Anoniem
Door Anoniem: Met een stofzuiger moet je kunnen stofzuigen, verder niks. Je moet wel een halve zool zijn om een dergelijke robotstofzuiger te kopen met wifi, nachtzicht en al die onzin ingebouwd. Je haalt zelf die kwetsbaarheden in huis...
Ja, maar de meeste mensen hebben zo grondig geen inzicht in hoe ICT werkt dat ze de kwetsbaarheden niet bewust binnenhalen. Van een fabrikant mag je verwachten dat die verstand heeft van wat hij produceert. Zich bewustzijn van de kwetsbaarheden hoort daarmee tot de verantwoordelijkheden van de fabrikant. Die kan je er dus ook op aanspreken.

Als je het daar niet mee eens bent, vraag je dan eens af of je een stofzuiger zou accepteren waarbij een substantieel deel van de luchtstroom niet door de slang loopt omdat de fabrikant te incompetent is om lekken te voorkomen. Zeg je dan tegen jezelf dat je maar niet zo stom had moeten zijn om een slecht produkt te kopen of had je mogen verwachten dat dat ding het behoorlijk doet? Als je vindt dat je als klant iets mag verwachten, vraag je dan eens af waarom dat niet voor het ICT-deel van een produkt zou gelden.
21-07-2018, 13:00 door Anoniem
Bovenop het feit dat de consument zich niet het IT bewustzijn heeft verworven om de risico's van het gebruik goed in te kunnen schatten bij iOT apparatuur, kun je een heleboel fabrikanten ook nog eens dik verwijten dat ze alles maar op de markt plempen met onveilige default instellingen, zonder de nodige documentatie om het spul veilig in een netwerk te hangen en zonder de nodige updates en upgrades, mocht het spul gehackt worden en/of kwetsbaar blijken.

In zulke gevallen koop je en/of gebruik je het niever niet aan het Internet gehangen. Dan is het gebruik van "slimme"apparaten eigenlijk oliedom, zowel in veiligheidsopzicht of als je privacy je lief is.

Maar dat laatste, de privacybescherming, is eigenlijk al de das omgedaan- als ik naar de HTM klantenservice site ga en er vervolgens 62 trackingverzoeken van die site moeten worden verhinderd.

We moeten komen tot hardware-matige totaal IoT beveiligingsoplossing. Die zijn er al voor USA en Israel, maar nog niet hier gearriveerd. Voorlopig liggen bij Google de beveiligingsafdeling en de advertentie core-business afdeling nog flink met elkaar in de clinch en naar schijnt heeft de advertentiepoot het laatste woord.

luntrus
21-07-2018, 16:13 door Anoniem
Het is een kwestie van tijd voordat de firmware van seksspeeltjes voor vrouwen, zoals een vibrator, worden gehacked. Dan zul je zien hoe snel er draconische wetgeving voor een veiliger Internet of Things wordt aangenomen.
21-07-2018, 19:47 door Anoniem
Een verbod op internet of things spullen zou veel beter zijn. Dan mogen de fabrikanten die onnodige rommel er niet meer in stoppen en is beveiliging overbodig.
21-07-2018, 23:36 door Anoniem
Ik denk dat de overheid de slimme meters als IoT spul nooit gaat verbieden, veel te handig om tegen een laag budget iedereen te controleren. Waar technologie, business en overheid drie handen op ene buik zijn.

Daarom Anoniem van 19:47 zal je wens wel een wensdroom blijven, die biljoen keer biljoen keer biljoen IPv6 adressen moeten toch toegekend worden, de matrix zal en moet worden opgetuigd, de globalist wacht erop. Maak je dus geen illusies.
22-07-2018, 14:16 door Anoniem
Hebben we allemaal de deep scan hier gedaan?: https://iotscanner.bullguard.com/deep-scan-completed

luntrus
22-07-2018, 23:31 door Anoniem
Door Anoniem: Hebben we allemaal de deep scan hier gedaan?: https://iotscanner.bullguard.com/deep-scan-completed

luntrus
Voor optimaal resultaat zou deze link gebruiken: https://iotscanner.bullguard.com
23-07-2018, 16:00 door Anoniem
Opdat je ten alle tijden kunt kijken waar je robot zich bevindt?

Interessante vraag. Hieronder stukje over de reden achter de webcam, op dit soort robots ;)

---
While some high-end robotic vacuums, like the iRobot Roomba 980, use a camera to help them navigate their surroundings, the Diqee uses a camera to turn the device into a surveillance system. The idea is, as the vacuum charges its batteries or drives around your home to clean the carpets, you can remotely view the camera feed to check in on your property.

https://www.gearbrain.com/robotic-vacuum-cleaner-camera-hack-2588365462.html
---
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search