image

32.000 smart home-servers zonder wachtwoord toegankelijk

donderdag 16 augustus 2018, 16:30 door Redactie, 4 reacties

Onderzoekers hebben op internet meer dan 32.000 servers ontdekt die voor "smart homes" worden gebruikt en zonder wachtwoord toegankelijk zijn. Het gaat om zogeheten MQTT-servers. MQTT staat voor Message Queuing Telemetry Transport en is een protocol dat wordt gebruikt om smart home-apparaten mee te bedienen en met elkaar te laten verbinden.

De MQTT-server draait bijvoorbeeld op een Raspberry Pi of andere mini-computer waar de smart home-apparaten in verbinding mee staan. "Hoewel het MQTT-protocol zelf veilig is, kunnen er zich beveiligingsproblemen voordoen wanneer het verkeerd wordt geïmplementeerd of geconfigureerd", zegt Martin Hron van anti-virusbedrijf Avast. Onderzoekers van de virusbestrijder vonden via de Shodan-zoekmachine 49.000 MQTT-servers die door een misconfiguratie zichtbaar waren. 32.000 van deze servers waren niet van een wachtwoord voorzien.

"Wanneer het MQTT-protocol niet goed is geconfigureerd, kunnen cybercriminelen volledige toegang tot een woning krijgen en bijvoorbeeld achterhalen wanneer de eigenaren thuis zijn, entertainmentsystemen, stemassistenten en huishoudapparaten manipuleren en slimme deuren openen", gaat Hron verder. Het probleem wordt volgens de onderzoeker veroorzaakt bij het installeren van de systemen.

Vaak maken gebruikers bij de installatie niet alleen het dashboard of configuratiepanel toegankelijk, maar ook de MQTT-server, aangezien deze twee onderdelen vaak op dezelfde machine of server draaien. "Consumenten moeten bewust zijn van de veiligheidskwesties bij het aansluiten van apparaten die persoonlijke delen van hun huis bedienen op diensten die ze niet helemaal begrijpen en het belang van het juist configureren van hun apparaten", aldus de onderzoeker, die verder stelt dat fabrikanten IoT-apparaten moeten ontwikkelen die eenvoudig en op een veilige wijze door gebruikers zijn in te stellen.

Reacties (4)
16-08-2018, 17:08 door Anoniem
Misschien een idee om voor Home Automation een apart netwerk op te zetten wat niet verbonden is met het internet.
16-08-2018, 17:42 door Anoniem
Door Anoniem: Misschien een idee om voor Home Automation een apart netwerk op te zetten wat niet verbonden is met het internet.
Als het zo simpel was, dan waren deze problemen er niet. Een techneut kan dit, maar een gemiddeld huishouden niet. Is veel te lastig. En je kunt dan niet showen bij je collega's dat je je hele huis kunt bedienen met je telefoon.

TheYOSH
16-08-2018, 17:56 door Anoniem
"Hoewel het MQTT-protocol zelf veilig is, kunnen er zich beveiligingsproblemen voordoen wanneer het verkeerd wordt geïmplementeerd of geconfigureerd"

Ja duhh, hoeveel open deuren trappen we hier nog in.

Een auto is een moordwapen en een pistool een perforator, nou goed?
17-08-2018, 13:59 door Anoniem
ik denk dat de bron van deze sores eigenlijk iets menselijks is: wat ik niet zie / snap is er niet of kan negeerd worden. dit geld zowel aan gebruikers kant als aan fabrikant kant. hoewel bij die laatste ook nog een vleugje a la 'not my problem anymore' toegevoegd wordt.

ik ben dus voorstander van om het wel een probleem voor fabrikant te laten worden. het is immer onmogelijk iedereen ter wereld IT savy te maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.