"Smart" voerautomaat voor huisdieren kwetsbaar door hardcoded wachtwoord
Een "smart" voerautomaat voor huisdieren is door het gebruik van een hardcoded wachtwoord, onveilig updateproces en onveilige communicatie met spraakassistent Alexa kwetsbaar voor aanvallers. Die kunnen het apparaat overnemen en saboteren. De fabrikant werd vorig jaar oktober al over de problemen ingelicht, maar heeft nog altijd geen oplossing uitgebracht, zo meldt antivirusbedrijf Kaspersky dat de kwetsbaarheden ontdekte.
De problemen doen zich voor in een voerautomaat van het merk Dogness. Eigenaren kunnen het apparaat via een app bedienen. Die communiceert hiervoor met een cloudserver. Onderzoekers van Kaspersky onderzochten de machine en ontdekten dat daarop een Telnet-server draaide. Het root-wachtwoord bleek hardcoded in de firmware te staan en is voor alle modellen hetzelfde. Via het root-wachtwoord kan volledige toegang tot het apparaat worden verkregen.
Verder blijkt de voerautomaat onversleuteld met de cloudserver te communiceren en updates via http te downloaden. De authenticiteit van de firmware wordt niet gecontroleerd, waardoor het via een man-in-the-middle mogelijk is om een malafide update te installeren. De voerautomaat is ook via stemassistent Alexa te bedienen. Hiervoor wordt gebruikgemaakt van een Message Queuing Telemetry Transport (MQTT) broker. De gebruikersnaam en wachtwoord voor deze broker zijn echter hardcoded in de software en voor alle voerautomaten hetzelfde. Kaspersky probeerde de leverancier naar eigen zeggen herhaaldelijk over de problemen te informeren, maar zonder succes.
Daardoor moet er extra voer gekocht worden, wat ze veel oplevert... :-)
Daar zit geen verbetering is :(
https://blog.burke-consulting.net/data-breach-dogness-iot-get-put-in-the-doghouse/
Daardoor moet er extra voer gekocht worden, wat ze veel oplevert... :-)
Fuck smart,maar denk zelf,en maak zelf beslissingen beste mensen.
makkelijker kunnen we het niet maken,wel veiliger.
Wereld 2023
Echt schandalig!
Daar zit geen verbetering is :(
data zit. Windows en Linux (i.i.g. Debian) updates lopen ook over http.
Voordeel is dat je dan nog een (transparante) caching proxy kunt gebruiken.
Waarschijnlijk de voerbak van Fluffy van een medewerker, die dacht, "He! IOT!" en dus is wat verder is gaan kijken.
"This issue could significantly impact confidentiality, as the device works as a continuous recording camera that is likely to be used indoors, with a strong possibility of capturing a private home environment that may contain sensitive information."
Daar gaat het om niet om dat het een smart feeder is maar omdat het privacy risicos geeft.
Inbreker kijkt via SHODAN of andere tool naar kwestbare apparaten in rijke buurt. Logt in op fido zijn etensbak ziet wanneer er wel en niet activiteit in het huis is en planned inbraak er om heen.
Stalker logt in op voeding bak legt data vast blackmailed slachtoffer met mogelijk privacy gevoelige opnames of beelden.
Daar zit geen verbetering is :(
data zit. Windows en Linux (i.i.g. Debian) updates lopen ook over http.
Voordeel is dat je dan nog een (transparante) caching proxy kunt gebruiken.
Windows gaat al enkele jaren over https en inderdaad (net gecontroleerd) ubuntu gaat over http, best wel vreemd aangezien dat een aanpassing van niets is.
Daardoor moet er extra voer gekocht worden, wat ze veel oplevert... :-)
vervelender is wanneer je huisdier gen voer meer krijgt.
Daar zit geen verbetering is :(
data zit. Windows en Linux (i.i.g. Debian) updates lopen ook over http.
Voordeel is dat je dan nog een (transparante) caching proxy kunt gebruiken.
Tja, als je je geen zorgen maakt over een Attacker In The Middle aanval kun je prima http gebruiken. Ik raad het je wel af.
Een checksum controle is bovenop https een goede maatregel, maar wel een aanvullende en niet in plaats van.
Jij hebt toch ook een (vaat)wasmachine of neemt ook wel eens kant-en-klaar voedsel? Gemak dient de mensch...
Trojan Dog
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.