Een ernstig beveiligingslek in een slimme thermostaat waardoor aanvallers op afstand toegang tot het apparaat konden krijgen is na bijna 2 jaar door de fabrikant gepatcht. Het gaat om de ComfortLink II-thermostaten van de Amerikaanse fabrikant Trane, die met internet verbonden zijn. Via het "slimme" gedeelte van de thermostaat kunnen gebruikers de temperatuur via internet instellen.

Netwerkgigant Cisco waarschuwde Trane in april 2014 voor drie kwetsbaarheden in de slimme thermostaat waardoor een aanvaller op afstand toegang kon krijgen en het apparaat volledig kon overnemen. Vervolgens zou de aanvaller via de thermostaat het lokale netwerk kunnen verkennen, om zowel lokaal als online aanvallen uit te voeren of de thermostaat voor andere "kwaadaardige operaties" op internet te gebruiken, aldus Cisco.

Een jaar later, in april 2015, verhielp Trane twee van de drie gerapporteerde kwetsbaarheden. Het gevaarlijkste lek bleef echter ongepatcht. Het ging om twee accounts met zogenoemde 'hardcoded' wachtwoorden. Via deze vaste wachtwoorden kon een aanvaller op afstand via ssh inloggen en volledige controle over het apparaat krijgen. Deze kwetsbaarheid werd eind januari van dit jaar via een firmware-update gepatcht.

Volgens Cisco maken Internet of Things-apparaten het leven gemakkelijker, maar laten de gevonden kwetsbaarheden zien hoe gevaarlijk het is als dergelijke apparatuur onveilig wordt ontwikkeld. In het geval van Trane werden de regels voor veilig ontwikkelen niet gevolgd, waardoor een aanvaller het apparaat kon overnemen en infecteren. Een bijkomend risico is dat veel gebruikers dit soort apparaten op hun netwerk vergeten, waardoor zelfs in het geval van een update die niet wordt geïnstalleerd, waardoor de apparaten kwetsbaar blijven.