Twee miljoen Internet of Things-apparaten zijn door een beveiligingslek in de p2p-software die ze gebruiken voor kwaadwillenden toegankelijk. Het gaat om beveiligingscamera's, webcams, babymonitors en smart deurbellen, zo ontdekte beveiligingsonderzoeker Paul Marrapese.

De apparatuur wordt geleverd met software genaamd "iLnkP2P". Via deze software is het mogelijk om de apparaten van over de gehele wereld te benaderen, zonder dat er aanpassingen aan de router of firewall moeten worden gemaakt. Gebruikers installeren een mobiele app en scannen de barcode op het apparaat of voeren een zescijferige code (UID) in. De p2p-software regelt de rest.

De iLnkP2P-apparaten bieden geen authenticatie of versleuteling en zijn eenvoudig te enumereren. Een aanvaller kan zo op afstand verbinding met de apparaten maken. Om de mogelijkheid te bewijzen ontwikkelde Marrapese een script waarmee hij meer dan twee miljoen kwetsbare IoT-apparaten identificeerde. Negentien procent hiervan bevindt zich in Europa.

Wachtwoorden

De onderzoeker ontwikkelde ook een aanval waarmee het mogelijk is om wachtwoorden van de kwetsbare apparaten te stelen, door misbruik van hun ingebouwde "heartbeat" feature te maken. Zodra de apparaten op een netwerk worden aangesloten versturen de iLnkP2P-apparaten geregeld een bericht naar een vooraf geconfigureerde p2p-server in afwachting van verdere instructies. De p2p-server zal verbindingsverzoeken naar de locatie van het meest recent ontvangen bericht doorsturen.

Door alleen het UID te kennen kan een aanvaller een frauduleus heartbeat-bericht versturen dat het vorige bericht van het legitieme apparaat vervangt. Hierdoor zal het apparaat verbinding met de aanvaller maken. "Zodra er verbinding wordt gemaakt zullen de meest clients meteen in plaintext als beheerder proberen in te loggen, waardoor een aanvaller de inloggegevens van het apparaat kan verkrijgen", aldus de onderzoeker tegenover it-journalist Brian Krebs. Aanvallers kunnen zo het apparaat overnemen.

Marrapese waarschuwde de ontwikkelaar van de software, maar kreeg geen reactie. ILnkP2P wordt vaak door fabrikanten geïmplementeerd, die hun apparaten als white label distribueren. Het is daardoor lastig om een lijst van alle kwetsbare fabrikanten te maken. Gebruikers kunnen echter aan de hand van de id-code op hun apparaat kijken of ze risico lopen. In onderstaande tabel staan (een deel van) de prefixes waarmee het UID van kwetsbare apparaten begint.

In een analyse van de kwetsbaarheid stelt de onderzoeker dat het onwaarschijnlijk is dat fabrikanten met een update zullen komen, waardoor gebruikers risico blijven lopen. Gebruikers krijgen dan ook het advies om de apparatuur weg te doen. Wanneer dit niet mogelijk is wordt aangeraden om UDP-poort 32100 dicht te zetten, waardoor de p2p-functionaliteit niet meer werkt. Daardoor zijn de apparaten niet meer vanaf externe netwerken via p2p toegankelijk. Lokale toegang werkt nog wel.