image

Weerstation Netatmo stuurde wifi-wachtwoord naar de cloud

zaterdag 14 februari 2015, 07:03 door Redactie, 7 reacties

Een persoonlijk weerstation van het Franse Netatmo dat ook in Nederland wordt verkocht stuurde het wachtwoord van het wifi-netwerk, alsmede andere gegevens, onversleuteld naar de cloud van de ontwikkelaars. Dat ontdekte Johannes Ullrich van het Internet Storm Center (ISC).

Via het Netatmo-weerstation kunnen zaken als temperatuur en luchtvochtigheid, maar ook omgevingsgeluiden en co2 worden gemeten. De informatie is vervolgens via iOS of Android in grafieken terug te lezen. Het apparaat moet eerst op een computer worden aangesloten, waarna er verschillende zaken moeten worden ingesteld, waaronder het wifi-netwerk en bijbehorende wachtwoord. Het weerstation gebruikt deze informatie om met de cloud te communiceren.

Ullrich monitorde het netwerkverkeer van het apparaat en zag tot zijn verbazing dat het apparaat zijn WPA-wachtwoord onversleuteld naar de cloud stuurde, alsmede het MAC-adres van het weerstation, netwerknaam en wat andere gegevens. Ullrich rapporteerde het probleem aan de fabrikant en kreeg te horen dat het weerstation tijdens de eerste keer een geheugendump voor debugdoeleinden verstuurt. Er is nu een update uitgekomen die dit uitschakelt.

Reacties (7)
14-02-2015, 08:51 door Anoniem
Waarom zou (voor persoonlijk gebruik) een weerstation aan internet moeten hangen? Dat is denk ik de kern van de zaak.
14-02-2015, 09:20 door Anoniem
Internet of Things (IoT) is duidelijk een security fail.
Slimme meters die op afstand door anderen kunnen worden gemanipuleerd en nu weer foute boel met een of ander weerstation dat aan het internet blijkt te hangen.

Eén ding weet ik wel: IoT komt voorlopig hier niet binnen.
14-02-2015, 10:14 door Anoniem
Door Anoniem: Waarom zou (voor persoonlijk gebruik) een weerstation aan internet moeten hangen? Dat is denk ik de kern van de zaak.
Nee dat is niet de kern van de zaak. Dit heeft voordelen en leuke toepassingen. Dat moet gewoon kunnen.

Wat de kern van de zaak is, is dat er gegevens verstuurd worden die voor die internetkoppeling en voor het doel van
het apparaat niet relevant zijn. Dat komt helaas vaak voor. De kern is om DAT te voorkomen, niet om autistisch op
je zolderkamertje te gaan zitten zonder enige vorm van communicatie en samenwerken.

Wat ik wel een beetje raar vind is dat die onderzoeker "verbaasd is dat het onversleuteld gebeurde". Ik denk dat als het
versleuteld was hij er helemaal nooit achter gekomen was wat er precies verstuurd werd. Ik denk dat het goed is dat
dit soort communicatie onversleuteld gebeurt omdat je dan tenminste nog zicht erop hebt. Bij dit soort toepassingen is
er geen "man in the middle" risico, dus is versleuteling ongewenst.

Ik denk dat als ik zo iets gekocht had ik hem niet op mijn lokale netwerk zou hebben aangesloten maar een aparte SSID
had aangemaakt voor dit soort devices waar een aparte sleutel op zit en beperkte mogelijkheden. En wellicht MAC
filtering op dat netwerk. Dat moet je router wel kunnen natuurlijk.
14-02-2015, 14:07 door Anoniem
Het IoT is vooral een fail omdat fabrikanten denken goedkoop wat leuks op de markt te kunnen brengen. Op dit moment vinden ze beveiliging enzo alleen maar lastig en duur. Want dan word dat weerstation gelijk duurder voor de consument.

Heel die markt staat nog in de kinderschoenen. De grote spelers die serieus zijn doen wel goede pogingen om het te beveiligen. De spelers die de markt willen overspoelen met troep en hier veel geld aannwillen verdienen komen hier later vast nog op terug. Maar voor de consument is het dan te laat.
14-02-2015, 17:32 door [Account Verwijderd]
[Verwijderd]
16-02-2015, 10:44 door User2048
Zou dat weerstation die "omgevingsgeluiden" ook naar de cloud uploaden?
18-02-2015, 19:16 door Anoniem
Door User2048: Zou dat weerstation die "omgevingsgeluiden" ook naar de cloud uploaden?

Ja. Zo kun je remote zien of er iemand in je huis is. Dat zie je ook aan de toename van het CO2 gehalte in de ruimte.

Daarnaast biedt het een soort crowdsharing aan, waarbij je kunt zien wat de temperatuur in je buurt, stad, provincie of land is.

Zolang IPv6 nog geen gemeengoed is, zul je die devices via een soort proxy uit moeten lezen.

Andere devices bieden bijvoorbeeld wel een lokale webinterface waar je met wat programmeren zelf de gegevens uit kunt halen en op je eigen webserver, voor jezelf, beschikbaar kunt maken.

Beveilliging is iets dat fabrikanten moeten leren. De eerste auto's hadden ook niet vier schijfremmen, maar maar een trommelrem. Dit soort incidenten helpen erbij. Fabrikanten die niet leren, komen keer op keer negatief in het nieuws. Ze worden op een gegeven moment zelfs verboden. Op een gegeven moment blijven de veiligheid- en privacybewuste fabrikanten over.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.