Onderzoekers vinden lekken in slimme verlichting Osram
Onderzoekers hebben in de slimme verlichting van fabrikant Osram verschillende beveiligingslekken ontdekt waardoor een aanvaller gevoelige netwerkgegevens kan achterhalen en opdrachten op de apparatuur kon uitvoeren. Het gaat in totaal om 9 kwetsbaarheden in de Osram LIGHTIFY.
Het betreft zowel de versie voor zakelijk als thuisgebruik. Via de LIGHTIFY kunnen gebruikers de verlichting in hun omgeving via een app bedienen. Het valt in de categorie Internet of Things en is compatibel met op ZigBee-gebaseerde automatiseringsoplossingen. Het eerste probleem dat de onderzoekers vonden was dat de wifi-sleutel die de LIGHTIFY gebruikt om verbinding met het draadloos netwerk te maken in platte tekst in de app wordt opgeslagen. Ook wordt er geen gebruik gemaakt van ssl-pinning. Een aanvaller kan hierdoor een man-in-the-middle-aanval uitvoeren en zo versleuteld verkeer onderscheppen.
Ook slaagden de onderzoekers erin om het apparaat zonder authenticatie willekeurige opdrachten te geven en opnieuw in te stellen, zodat er met het wifi-netwerk van een aanvaller verbinding werd gemaakt. Ook bleek dat de webbeheerconsole kwetsbaar was voor cross-site scripting en blijken de apparaten standaard zwakke wifi-wachtwoorden te gebruiken. Beveiligingsbedrijf Rapid7 waarschuwde Osram op 16 mei van dit jaar voor de problemen. Vorige week verscheen er een update die alle problemen verhelpt, behalve het gebruik van ssl-pinning. Gebruikers krijgen dan ook het advies de beveiligingsupdate voor hun slimme verlichting te installeren.
* Cleartext WPA2 PSK : moet je als crimineel je handen al hebben op een de ipad en/of genoeg rechten hebben om een bestandje op de ipad uit te lezen.
* Lack of SSL Pinning : een crimineel moet het voor elkaar krijgen om mitm op een netwerk te spelen. Als dat lukt heb je al een groter probleem.
* Pre-Authentication Command Execution : als je de lamp aan zet zonder dat die geconfigureerd is om van je internetverbinding gebruik te maken of als je internet plat ligt dan kan je het licht aan en uit doen of herconfigureren.
* ZigBee Network Command Replay : Hier moet de crimineel je netwerk voor kunnen afluisteren. Ook dan heb je waarschijnlijk grotere problemen dan wat er met het lampje valt te doen.
* persistente XSS in de web console : als je crimineel al bij de beheerconsole van voor jou belangrijke apparatuur kon komen dan is je beveiligingsmodel al wat meer stuk.
* Zwakke standaard WPA2 PSK : Standaardfabrieksinstellingen gebruiken is vragen om extra risico's Helemaal als je een psk niet wenst te wijzigen.
* Cached Screenshot Information Leak : moet je als crimineel je handen al hebben op een de ipad en/of genoeg rechten hebben om een bestandje op de ipad uit te lezen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
