image

Onderzoeker vindt ernstig lek in slimme wifi-weegschaal

zondag 1 mei 2016, 08:44 door Redactie, 7 reacties

Een bekende beveiligingsonderzoeker van Google heeft een ernstig beveiligingslek in een slimme wifi-weegschaal van fabrikant Fitbit ontdekt, waarvoor nu een beveiligingsupdate is uitgebracht. Het gaat om de Fitbit Aria die lichaamsgewicht, body mass index (bmi) en vetpercentage bijhoudt.

De weegschaal kan daarnaast statistieken en trends weergeven en de gegevens zijn draadloos via het thuisnetwerk te synchroniseren. De weegschaal werkt daarnaast samen met de verschillende gezondheidstrackers en app van Fitbit. Onderzoeker Tavis Ormandy ontdekte echter dat een aanvaller zonder inloggegevens willekeurige code op het toestel kan uitvoeren. Bij computers houdt dit in dat er bijvoorbeeld malware kan worden geïnstalleerd of dat er firmware kan worden aangepast. Wat precies de impact in het geval van de weegschaal is laat Ormandy niet weten.

Volgens de onderzoeker werkt de aanval ook als de Aria zich in een netwerk bevindt dat van Network Address Translation (NAT) gebruikmaakt. Vanwege de kwetsbaarheid heeft Fitbit nu een kritieke beveiligingsupdate uitgerold, die automatisch op kwetsbare weegschalen wordt geïnstalleerd.

Image

Reacties (7)
01-05-2016, 14:40 door Anoniem
Aan de ene kant wel jammer. Nu konden we de weegschaal zo aanpassen dat vrouwen altijd hun perfecte gewicht zouden hebben.
01-05-2016, 15:02 door Anoniem
Bij de enorme toename van IoT in de komende jaren, kunnen we dus ook een exponentiële toename van lekken met exploits verwachten.
01-05-2016, 23:34 door Anoniem
Aangezien de weegschaal niet zelfstandig direct aan het internet kan worden gekoppeld gebruik ik de term ernstig lek liever voor zaken die heel makkelijk voor iedereen zijn uit te buiten. Hier moet je als crimineel eerst nog toegang weten te krijgen tot de weegschaal en als je dat kan zit je waarschijnlijk al met teveel rechten op een LAN.
02-05-2016, 09:48 door PietdeVries
Door Anoniem: Aangezien de weegschaal niet zelfstandig direct aan het internet kan worden gekoppeld gebruik ik de term ernstig lek liever voor zaken die heel makkelijk voor iedereen zijn uit te buiten. Hier moet je als crimineel eerst nog toegang weten te krijgen tot de weegschaal en als je dat kan zit je waarschijnlijk al met teveel rechten op een LAN.

Dat ben ik niet met je eens...
Alhoewel de weegschaal in kwestie aan een intranetje moet worden verbonden zet het kennelijk toch een of meerdere sessies op naar buiten. Immers, Fitbit is in staat om er automagisch nieuwe software op te installeren. De weegschaal belt dus onder andere naar huis voor firmware. Dat betekent dus dat met een beetje pielen je ook van buiten naar binnen, naar de weegschaal kan. En van de weegschaal (via het daarin opgeslagen wifi wachtwoord) naar de rest van het LAN is dan een kleine moeite...
02-05-2016, 12:00 door Anoniem
Door Anoniem: Aangezien de weegschaal niet zelfstandig direct aan het internet kan worden gekoppeld gebruik ik de term ernstig lek liever voor zaken die heel makkelijk voor iedereen zijn uit te buiten. Hier moet je als crimineel eerst nog toegang weten te krijgen tot de weegschaal en als je dat kan zit je waarschijnlijk al met teveel rechten op een LAN.

Ja, want een apparaat met een zekere voorspelbaarheid van de verzonden netwerkgegevens kan ook niet misbruikt worden voor doeleinden als packet-sniffing :/
03-05-2016, 15:49 door spatieman
wordt je gearresteerd omdat je weegschaal een DDOS uitvoerde....
05-05-2016, 02:14 door Anoniem
Tja ik denk dat thuisgebruikers met IoT er ook niet aan gaan ontkomen om te gaan zoneren middels VLANs en een firewall. Alleen hoe leg je dat nu uit aan Henk en Ingrid?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.