Nieuws

Slimme waterkoker iKettle 2.0 lekt wifi-sleutel

maandag 19 oktober 2015, 12:41 door Redactie, 25 reacties

Een slimme waterkoker waarmee het mogelijk is om via het lokale wifi-netwerk water te koken blijkt de wifi-sleutel te lekken. Dat heeft beveiligingsonderzoeker Ken Munro van het Britse Pen Test Partners ontdekt. De iKettle 2.0 is een door Smarter ontwikkelde waterkoker die via de smartphone is te bedienen.

In de eerste versie van de waterkoker bleek dat het apparaat kwetsbaar is voor een aanval waarbij de aanvaller een kwaadaardig wifi-netwerk opzet. De waterkoker blijkt namelijk alleen het SSID voor verificatie te gebruiken. Zodra de waterkoker met het kwaadaardige wifi-netwerk verbinding maakt kan een aanvaller via Telnet de WPA-sleutel van het oorspronkelijke wifi-netwerk in platte tekst achterhalen en hier verbinding mee maken.

Sinds Munro de problemen met de eerste iKettle in juni demonstreerde is er een nieuwe versie op de markt verschenen, de iKettle 2.0. Deze versie heeft ondanks het nieuwe versienummer met dezelfde problemen te maken, aldus Munro. Het achterhalen van de wifi-sleutel zou vooral eenvoudig zijn als de Android-app voor het bedienen van de waterkoker wordt gebruikt, maar de aanval is ook bij gebruikers van de iPhone-app uit te voeren.

De onderzoeker adviseert eigenaren van de slimme waterkoker om die alleen aan te zetten als er water moet worden gekookt en daarna weer uit te zetten. Verder moet een eventuele update van de fabrikant direct worden geïnstalleerd. Daarnaast wordt geadviseerd om geen onzinnige 'Internet of Things' apparaten aan het thuisnetwerk te hangen, tenzij de beveiliging van de fabrikant is getest en bewezen.

Hacker achterhaalt pincode smartphone via 'selfie'

Tips voor een veilige wifi-router: verander de standaard IP-reeks

Reacties (25)

19-10-2015, 13:07 door Anoniem

Onnodig aanvalsoppervlakte heet dat; een Waterkoker met WiFi; als je zo nodig hipster moet zijn, scheid dan je 'operationeel' netwerk van je 'kantoor' netwerk ... lekke firmwares voor die obsolete-after-introduction IoT apparaten gaat nog jaren een probleem zijn; als StageFreight al amper gepatcht wordt, dan gaat je waterkoker ook geen lange LCM updates krijgen :(

19-10-2015, 13:14 door [Account Verwijderd] - Bijgewerkt: 19-10-2015, 13:14

Waarom bestaat dit? Waarom wil je nou perse een waterkoker (of all things) op afstand besturen?
Vroeg of laat moet je toch naar de keuken lopen om je thee te zetten.

Quote van de dag:

Daarnaast wordt geadviseerd om geen onzinnige 'Internet of Things' apparaten aan het thuisnetwerk te hangen

19-10-2015, 13:22 door Reinder

Wat reuze handig. Dan kan je dus tussen twee snoozes in naar beneden gaan, vers water in je waterkoker doen, weer terug naar bed gaan, op afstand met je smartphone de waterkoker aan zetten en als 'ie dan gekookt heeft is net je tweede snooze geweest en dan kan je naar beneden waar dan kokend water klaar staat voor je. Ik kan niet wachten tot ik dergelijke innovaties bij de Blokker kan kopen, daarmee gaat mijn leven een stuk prettiger worden. Waar ik ook nog op wacht is een automatisch opbelapparaat om aan de voicemail van mijn familie te vragen hoe het met ze gaat.

19-10-2015, 13:24 door [Account Verwijderd]

Een slimme waterkoker waarmee het mogelijk is om via het lokale wifi-netwerk water te koken.

Als ik dat lees dan visualiseer ik een parabool die het lokale wifi signaal bundelt op een klein keteltje.
Dan bedenk ik, het kan wel even duren voordat het water kookt. ;-)

19-10-2015, 13:51 door Anoniem

Maar nu de vraag.
Levert hij ook het water via de Wifi verbinding?

19-10-2015, 14:01 door User2048

Dus je gaat eerst naar de keuken om water in de ketel te doen, dan loop je terug naar je luie stoel, schakelt met je smartphone de ketel in, en als het water kookt (wel een notificatie op mijn phone a.u.b.) dan loop je naar de keuken om thee te maken? Hmmm...

O, en met een druk op de "share" knop kan ik via Facebook de hele wereld laten weten dat ik water heb gekookt!

19-10-2015, 14:01 door Anoniem

Kopje koffie?
Wacht even, eerst de firmware van de waterkoker bijwerken

waterkokers met beveiligingslekken, ijskasten met sjoemelsoftware, afluistertelevisies...
veel gekker moet het niet worden.

19-10-2015, 14:08 door Anoniem

Topje van de ijsberg. Zolang we doorgaan met alles aan het internet hangen gaan we nog veel ergere dingen meemaken. Denk aan;
- Duizenden auto's in een botnet, op afstand tegelijkertijd te crashen of te gebruiken als transportmiddel van explosieven voor terroristen (geen zelfmoordenaars meer nodig!)
- Waterkokers die blijven doorkoken, ook al zit er geen water in de koker (idem voor frituurpannen, koffiezetapparaten, enzovoorts)
- 'Slimme' energiemeters die gemanipuleerd worden (herinnerd u Volkswagen nog?)
- 'Slimme' sloten/deuren op afstand ontgrendelen via een security bug
- 'Smart-TV's die meeluisteren en meekijken naar wat u doet
- IoT Koelkasten die worden overbelast en in de brand vliegen
Je kunt eindeloos doorgaan. Hoe goed je het ook wilt beveiligen, dit soort apparaten horen niet aan het internet te hangen. Want; iedere beveiliging valt te kraken.

19-10-2015, 14:11 door Anoniem

ziet er naar uit dat IoT-ontwerpers de security vergeten hebben.

19-10-2015, 14:51 door Anoniem

All your waterkokers are belong to us!!

19-10-2015, 14:57 door Anoniem

Door Reinder: Wat reuze handig. Dan kan je dus tussen twee snoozes in naar beneden gaan, vers water in je waterkoker doen, weer terug naar bed gaan, op afstand met je smartphone de waterkoker aan zetten en als 'ie dan gekookt heeft is net je tweede snooze geweest en dan kan je naar beneden waar dan kokend water klaar staat voor je. Ik kan niet wachten tot ik dergelijke innovaties bij de Blokker kan kopen, daarmee gaat mijn leven een stuk prettiger worden. Waar ik ook nog op wacht is een automatisch opbelapparaat om aan de voicemail van mijn familie te vragen hoe het met ze gaat.

Ik wacht gewoon op een lekker wijf die mij wakker maakt met een goeie bak koffie.

19-10-2015, 15:34 door Anoniem

Toen electriciteit in huis net een beetje opkwam werden ook de meest wilde combinaties van apparaten bedacht. De mens verandert niet zo erg door de eeuwen heen, dus nu we IoT in opkomst hebben zie je dezelfde onzin langskomen.

En eigenlijk maar goed ook, want als iedere wilde uitvinder stopt bij de eerste die zegt "where is the fun in that?" dan waren we nooit zoveel verder gekomen dan grotten en misschien een enkel berenvel. Je ziet pas achteraf of iets aanslaat, of wat voor mogelijkheden het nog meer biedt.

Al die waanzinnige uitschieters moeten we vooral voor lief nemen. Een puur functionele wereld is een dystopie.

19-10-2015, 16:28 door Anoniem

Ik wacht gewoon op een lekker wijf die mij wakker maakt met een goeie bak koffie.

Ja en slim hoeft ze niet eens te zijn.

19-10-2015, 16:51 door Anoniem

Als een waterkoker wachtwoorden lekt krijg je dan ook kortsluiting?

19-10-2015, 17:35 door Anoniem

Dit is echt lachwekkend. Een waterkoker met wifi. Kom op mensen dit slaat nergens op. Al helemaal niet als je beveiliging enigszins serieus neemt. Is dit de toekomst? Een koelkast,wc,waterkoker,wasmachine,magnetron etc allemaal "smart" en op wifi. Ik wacht wel op de quantum computer als ik dat nog mee maak :p

19-10-2015, 17:41 door Anoniem

Ik zou mensen met een "slimme" waterkoker adviseren om dit ding meteen uit het raam te gooien :p. Dat is natuurlijk wachten op problemen.

19-10-2015, 18:21 door [Account Verwijderd]

[Verwijderd]

19-10-2015, 19:42 door Anoniem

Door Anoniem:

Ik wacht gewoon op een lekker wijf die mij wakker maakt met een goeie bak koffie.

Ja en slim hoeft ze niet eens te zijn.

Wat een gebrek aan respect voor vrouwen hoor ik hier...walgelijk gewoon.

19-10-2015, 19:53 door Anoniem

"Slimme waterkoker iKettle 2.0 lekt wifi-sleutel"

Wat een dom ding!

19-10-2015, 23:09 door Anoniem

Auto's, waterkokers, cv-ketels, vliegtuigen, gemalen, enz enz enz worden massaal aan het internet gekoppeld zonder dat er enige regelgeving is om te bepalen of een dergelijk product als geheel veilig genoeg is om op de markt te verschijnen. Een waterkoker, een auto, cv-ketel worden alleen gekeurd op de veiligheidsrisico's zonder rekening te houden met de gevolgen van aan het internet gekoppeld zijn.

Bij wie ligt de schuld als een waterkoker of cv-ketel straks heter worden dan de gestelde veilige limieten via het internet, of als een auto via het internet een dodelijk verkeersongeval veroorzaakt?

Bij de eigenaar? Die verwacht een deugdelijk product.
Bij de leverancier? Die voldeed aan de gestelde veiligheidseisen.
Bij de keurende partij die het apparaat veilig verkondigde? Die keurt op basis van wat wettelijk keuringskaders.
Bij de wetgever? Die kan zich beroepen op verschoning van aansprakelijkheid mits er geen hiaat in de wetgeving bestaat.

Waar hebben we verplichte veiligheidskeuringen voor als er bij die keuringen geen rekening wordt gehouden met de onveiligheid door het koppelen aan het internet van een keuringsplichtig product?

20-10-2015, 08:16 door Anoniem

Verbazend dat mensen die niet eens in kunnen zien dat je dit apparaat toch al 'lokaal' moet bedienen alvoor het zin zou hebben om op de 'kook dat water' knop te drukken ook niks met security op hebben... Dit is het nieuwe topproduct waarmee je voortaan kan herkennen dat je met een echte wannabe-hipster in dezelfde ruimte bent.

20-10-2015, 08:40 door Anoniem

Dit soort vragen roept nog meer vragen op. Hoe is het met de veiligheid van Home Automation zoals klik aan klik uit? Hoe snel kun je dat soort apparaten en schakelaar hacken?

21-10-2015, 00:54 door Anoniem

Verder moet een eventuele update van de fabrikant direct worden geïnstalleerd.

Haha, waarom heeft een waterkoker updates nodig? Bestaat er een kans dat over een paar maanden water op een andere manier gekookt moet worden?? Er komen steeds meer overbodige smart-apparaten, dat mag duidelijk zijn.

Daarnaast is het weer een extra apparaat dat door een onverstandige (of onwetende) consument in een huishouden terecht kan komen dat volstrekt onnodig gebruik maakt van draadloze communicatie, terwijl nog steeds niet bewezen is dat deze straling ongevaarlijk is voor de gezondheid. In feite haalt u een 'not safety tested' apparaat in huis..

21-10-2015, 12:02 door Anoniem

Internet of Things zal eerder "Internet of the End" worden.
Alles, maar dan ook ALLES gaat zo lek als een mandje worden.

Vroeger had je een PC, de enige manier om gehackt te worden, nu heb je smartphones, smart tv's, smart koelkasten die al mail spam versturen, iKettles die WiFi wachtwoorden lekken.
Hardware en software worden steeds sneller gemaakt en steeds korter onderhouden.

Dit is nog maar het begin, en ik ga me kapot lachen wanneer al deze "hippe" mensen problemen krijgen.

22-10-2015, 11:07 door Plopeye

Sorry als de humor niet gewaardeerd wordt maar deze 2 vind ik wel passen bij dit onderwerp:

https://tools.ietf.org/html/rfc2324

https://tools.ietf.org/html/rfc7168

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer