Starterskits voor zogeheten Smart Homes blijken allerlei problemen te bevatten waardoor aanvallers toegang kunnen krijgen tot de systemen die worden gebruikt voor verwarming, beveiliging, elektriciteit, licht en monitoring van ramen, deuren en kamers, zo stelt het Duitse AV-Test.org.

Het testorgaan vergeleek zeven starterskits voor Smart Homes. Het gaat om iConnect van eSaver, tapHome van EUROiSTYLE, Gigaset Elements van Gigaset, iComfort van REV Ritter, RWE Smart Home van RWE, QIVICON van Deutsche Telekom en XAVAX MAX! van Hama. Vier van de zeven starterskits hadden de beveiliging niet op orde, zo stelt AV-Test.

De iComfort en tapHome kits bleken niet te zijn beveiligd tegen aanvallen van het lokale netwerk, terwijl de iConnect en XAVAX MAX! daarnaast ook kwetsbaar voor externe aanvallen zijn. Volgens AV-Test zou een aanvaller op deze manier de verwarming kunnen saboteren, zodat waterleidingen kapot vriezen. Andere mogelijke aanvallen zijn het uitschakelen van de beveiliging en zelfs het verstoppen van Trojaanse paarden in rookdetectors wordt genoemd.

Authenticatie

De problemen bevinden zich in de encryptie en authenticatie die de kits voor communicatie gebruiken. Aanvallers zouden via een app, wifi-netwerk en zelfs het internet toegang tot de apparatuur kunnen krijgen. De iComfort blijkt geen enkele vorm van authenticatie te gebruiken. De iConnect en XAVAX MAX! gebruiken wel authenticatie, maar alleen voor gebruikers die via het web komen.

Lokale gebruikers krijgen direct toegang. De tapHome vereist wel een wachtwoord, maar dat blijkt in platte tekst te worden verstuurd en zou door een aanvaller kunnen worden opgevangen. Alleen de Gigaset Elements, RWE Smart Home en QIVICON presteren op dit gebied feilloos.

"Een onveilige Smart Home kit kan voor aanvallers een backdoor tot je thuisnetwerk zijn. Het is daarom essentieel dat deze producten een goede beveiliging bieden. Helaas hebben deze kits niet dezelfde beveiligingsstandaard zoals andere netwerkapparaten, zoals WLAN-apparaten en routers", concludeert AV-Test.