Weerstation Netatmo stuurde wifi-wachtwoord naar de cloud
Een persoonlijk weerstation van het Franse Netatmo dat ook in Nederland wordt verkocht stuurde het wachtwoord van het wifi-netwerk, alsmede andere gegevens, onversleuteld naar de cloud van de ontwikkelaars. Dat ontdekte Johannes Ullrich van het Internet Storm Center (ISC).
Via het Netatmo-weerstation kunnen zaken als temperatuur en luchtvochtigheid, maar ook omgevingsgeluiden en co2 worden gemeten. De informatie is vervolgens via iOS of Android in grafieken terug te lezen. Het apparaat moet eerst op een computer worden aangesloten, waarna er verschillende zaken moeten worden ingesteld, waaronder het wifi-netwerk en bijbehorende wachtwoord. Het weerstation gebruikt deze informatie om met de cloud te communiceren.
Ullrich monitorde het netwerkverkeer van het apparaat en zag tot zijn verbazing dat het apparaat zijn WPA-wachtwoord onversleuteld naar de cloud stuurde, alsmede het MAC-adres van het weerstation, netwerknaam en wat andere gegevens. Ullrich rapporteerde het probleem aan de fabrikant en kreeg te horen dat het weerstation tijdens de eerste keer een geheugendump voor debugdoeleinden verstuurt. Er is nu een update uitgekomen die dit uitschakelt.
Slimme meters die op afstand door anderen kunnen worden gemanipuleerd en nu weer foute boel met een of ander weerstation dat aan het internet blijkt te hangen.
Eén ding weet ik wel: IoT komt voorlopig hier niet binnen.
Wat de kern van de zaak is, is dat er gegevens verstuurd worden die voor die internetkoppeling en voor het doel van
het apparaat niet relevant zijn. Dat komt helaas vaak voor. De kern is om DAT te voorkomen, niet om autistisch op
je zolderkamertje te gaan zitten zonder enige vorm van communicatie en samenwerken.
Wat ik wel een beetje raar vind is dat die onderzoeker "verbaasd is dat het onversleuteld gebeurde". Ik denk dat als het
versleuteld was hij er helemaal nooit achter gekomen was wat er precies verstuurd werd. Ik denk dat het goed is dat
dit soort communicatie onversleuteld gebeurt omdat je dan tenminste nog zicht erop hebt. Bij dit soort toepassingen is
er geen "man in the middle" risico, dus is versleuteling ongewenst.
Ik denk dat als ik zo iets gekocht had ik hem niet op mijn lokale netwerk zou hebben aangesloten maar een aparte SSID
had aangemaakt voor dit soort devices waar een aparte sleutel op zit en beperkte mogelijkheden. En wellicht MAC
filtering op dat netwerk. Dat moet je router wel kunnen natuurlijk.
Heel die markt staat nog in de kinderschoenen. De grote spelers die serieus zijn doen wel goede pogingen om het te beveiligen. De spelers die de markt willen overspoelen met troep en hier veel geld aannwillen verdienen komen hier later vast nog op terug. Maar voor de consument is het dan te laat.
Ja. Zo kun je remote zien of er iemand in je huis is. Dat zie je ook aan de toename van het CO2 gehalte in de ruimte.
Daarnaast biedt het een soort crowdsharing aan, waarbij je kunt zien wat de temperatuur in je buurt, stad, provincie of land is.
Zolang IPv6 nog geen gemeengoed is, zul je die devices via een soort proxy uit moeten lezen.
Andere devices bieden bijvoorbeeld wel een lokale webinterface waar je met wat programmeren zelf de gegevens uit kunt halen en op je eigen webserver, voor jezelf, beschikbaar kunt maken.
Beveilliging is iets dat fabrikanten moeten leren. De eerste auto's hadden ook niet vier schijfremmen, maar maar een trommelrem. Dit soort incidenten helpen erbij. Fabrikanten die niet leren, komen keer op keer negatief in het nieuws. Ze worden op een gegeven moment zelfs verboden. Op een gegeven moment blijven de veiligheid- en privacybewuste fabrikanten over.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
