Een slimme waterkoker waarmee het mogelijk is om via het lokale wifi-netwerk water te koken blijkt de wifi-sleutel te lekken. Dat heeft beveiligingsonderzoeker Ken Munro van het Britse Pen Test Partners ontdekt. De iKettle 2.0 is een door Smarter ontwikkelde waterkoker die via de smartphone is te bedienen.
In de eerste versie van de waterkoker bleek dat het apparaat kwetsbaar is voor een aanval waarbij de aanvaller een kwaadaardig wifi-netwerk opzet. De waterkoker blijkt namelijk alleen het SSID voor verificatie te gebruiken. Zodra de waterkoker met het kwaadaardige wifi-netwerk verbinding maakt kan een aanvaller via Telnet de WPA-sleutel van het oorspronkelijke wifi-netwerk in platte tekst achterhalen en hier verbinding mee maken.
Sinds Munro de problemen met de eerste iKettle in juni demonstreerde is er een nieuwe versie op de markt verschenen, de iKettle 2.0. Deze versie heeft ondanks het nieuwe versienummer met dezelfde problemen te maken, aldus Munro. Het achterhalen van de wifi-sleutel zou vooral eenvoudig zijn als de Android-app voor het bedienen van de waterkoker wordt gebruikt, maar de aanval is ook bij gebruikers van de iPhone-app uit te voeren.
De onderzoeker adviseert eigenaren van de slimme waterkoker om die alleen aan te zetten als er water moet worden gekookt en daarna weer uit te zetten. Verder moet een eventuele update van de fabrikant direct worden geïnstalleerd. Daarnaast wordt geadviseerd om geen onzinnige 'Internet of Things' apparaten aan het thuisnetwerk te hangen, tenzij de beveiliging van de fabrikant is getest en bewezen.
Deze posting is gelocked. Reageren is niet meer mogelijk.