Onderzoekers hebben in de slimme verlichting van fabrikant Osram verschillende beveiligingslekken ontdekt waardoor een aanvaller gevoelige netwerkgegevens kan achterhalen en opdrachten op de apparatuur kon uitvoeren. Het gaat in totaal om 9 kwetsbaarheden in de Osram LIGHTIFY.
Het betreft zowel de versie voor zakelijk als thuisgebruik. Via de LIGHTIFY kunnen gebruikers de verlichting in hun omgeving via een app bedienen. Het valt in de categorie Internet of Things en is compatibel met op ZigBee-gebaseerde automatiseringsoplossingen. Het eerste probleem dat de onderzoekers vonden was dat de wifi-sleutel die de LIGHTIFY gebruikt om verbinding met het draadloos netwerk te maken in platte tekst in de app wordt opgeslagen. Ook wordt er geen gebruik gemaakt van ssl-pinning. Een aanvaller kan hierdoor een man-in-the-middle-aanval uitvoeren en zo versleuteld verkeer onderscheppen.
Ook slaagden de onderzoekers erin om het apparaat zonder authenticatie willekeurige opdrachten te geven en opnieuw in te stellen, zodat er met het wifi-netwerk van een aanvaller verbinding werd gemaakt. Ook bleek dat de webbeheerconsole kwetsbaar was voor cross-site scripting en blijken de apparaten standaard zwakke wifi-wachtwoorden te gebruiken. Beveiligingsbedrijf Rapid7 waarschuwde Osram op 16 mei van dit jaar voor de problemen. Vorige week verscheen er een update die alle problemen verhelpt, behalve het gebruik van ssl-pinning. Gebruikers krijgen dan ook het advies de beveiligingsupdate voor hun slimme verlichting te installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.