Nieuws

Onderzoeker vindt lekken in wifi-thermostaat Heatmiser

maandag 22 september 2014, 14:29 door Redactie, 7 reacties

Een beveiligingsonderzoeker heeft tal van lekken in de slimme wifi-thermostaat van fabrikant Heatmiser ontdekt waardoor het mogelijk is om het apparaat via het web over te nemen. De wifi-thermostaat laat gebruikers op afstand via een app en een webinterface de thermostaat instellen en regelen.

Onderzoeker Andrew Tierney ontdekte als eerste dat het apparaat een standaard gebruikersnaam en pincode gebruikt en gebruikers niet verplicht die te wijzigen als ze het toestel voor het eerst instellen, ook al is de Heatmiser toegankelijk via het internet. Verder is het mogelijk zodra een gebruiker op de thermostaat is ingelogd om alle wifi-gegevens, zoals gebruikersnaam, wachtwoord, SSID en wifi-wachtwoord in platte tekst te bekijken.

Verder blijkt dat het apparaat geen controle uitvoert zodra de invoer van gebruikers is ingevoerd. Daardoor is het mogelijk om al dan niet gevaarlijke acties uit te voeren zonder dat die worden gevalideerd door de thermostaat. Een ander probleem is dat er geen bescherming tegen brute force-aanvallen aanwezig is. Wat het mogelijk maakt om de viercijferige pincode te achterhalen.

Met een snelheid van 2 pincodes per seconde is het mogelijk om in anderhalf uur via het internet alle 10.000 mogelijke combinaties te proberen. Daarnaast is het niet mogelijk om de firmware in het apparaat zelf te updaten, maar moet dit fysiek door een programmeur worden gedaan.

Ook is het mogelijk om pagina's en menuonderdelen zonder authenticatie te bereiken en zo zijn er nog verschillende andere problemen die Tierney ontdekte. Uiteindelijk besloot hij niet verder te kijken, maar hij stelt dat er waarschijnlijk nog genoeg andere zwakke plekken zijn. Via een scan op internet op poort 8086 ontdekte hij zo'n 7.000 thermostaten, voornamelijk in de Verenigde Staten, gevolgd door Frankrijk en Italië.

Reactie

De onderzoeker waarschuwde Heatmiser en ontving een reactie dat er aan een update voor de gevonden problemen wordt gewerkt. In de tussentijd zou het bedrijf klanten adviseren om poort 80 op hun wifi-thermostaat te sluiten. Volgens een reactie op Reddit moet er een internationale standaard komen voor de "Internet of Things". Teveel bedrijven zouden namelijk niet naar de veiligheid van hun apparatuur omkijken.

In een andere reactie wordt gepleit voor de introductie van een grafisch beoordelings- of scoresysteem, zodat mensen snel kunnen kijken wat een apparaat op het gebied van veiligheid scoort. Het gaat dan bijvoorbeeld om zaken als de mogelijkheid om zichzelf te updaten, het afdwingen van veilige inloggegevens en versleutelde communicatie.

Ex-werknemers: Home Depot nam dreigingen niet serieus

EFF hekelt vermeende aanschaf Finfisher door Nederland

Reacties (7)

22-09-2014, 14:47 door [Account Verwijderd] - Bijgewerkt: 22-09-2014, 14:48

[Verwijderd]

22-09-2014, 15:00 door User2048

De voordelen van een online-thermostaat wegen volgens mij absoluut niet op tegen de risico's. De slimme thermostaat komt er bij mij niet in!

22-09-2014, 18:41 door Anoniem

Hahahahaha het wordt ze te heet onder de voeten dus laten ze de klant in de kou staan ;)

22-09-2014, 21:50 door [Account Verwijderd] - Bijgewerkt: 22-09-2014, 21:51

Door Picasa3 22-09-2014 14:47 uur: En dan willen energiebedrijven graag zien dat we ook slimme meters laten installeren.
Voor mij geen slimme meter en nu ook geen slimme thermostaat in m'n huis!

Het scheelt dat een slimme meter bij mij wetende geen gebruik maakt van het wifi-netwerk van de bewoner van het huis. Echter sta ik ook zowel de slimme thermostaat als de slimme meter niet toe te juichen (ik draai liever gewoon aan een knop op de thermostaat om de temperatuur in huis te regelen :-)

23-09-2014, 09:56 door Anoniem

Ik heb een Pelgrim gaskachel en een Daalderop boiler. Voor mij geen thermostaat en al helemaal geen "slimme" meter, alsof de oude dom is. Kennelijk heeft mijn energieleverancier geen problemen met een "domme" meter want ze weigeren nooit mijn maandelijkse voorschot.

23-09-2014, 11:36 door spatieman

de slimme meter is puur voor datamining.
waneer is iemand thuis, waneer is iemand weg, deze gegevens kan verkocht worden, (evt aan criminelen).

23-09-2014, 18:41 door Anoniem

Wel handig , in mijn vriendenkring is het gebruikelijk dat de visite voordat ze weggaan nog even onopgemerkt de thermostaat van de jarige job op 30 graden draaien .
Nu kan het op afstand en op iedere willekeurige dag .
Wat zal de 1e in de vriendenkring die zo 'slim' is deze thermostaat aan te schaffen toch vaak zijn poten branden aan de verwarming op warme zomerse nachten .... heerlijk !

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer