Slimme thermostaten bevatten niet alleen kwetsbaarheden waardoor ze gevoelig voor ransomware zijn, ze kunnen ook op afstand worden overgenomen, zo meldt beveiligingsbedrijf Trustwave. Onderzoeker Jeff Kitson ontdekte verschillende kwetsbaarheden in zijn slimme thermostaat van fabrikant Trane.

De apparaten bleken informatie te lekken en lieten aanvallers op afstand inloggen doordat er van een zwak inlogmechanisme en vast wachtwoorden gebruik werd gemaakt. De thermostaat bleek voor de toegang op afstand een zelfgemaakt protocol op een voorspelbaar poortnummer te te gebruiken. "Als je vaste inloggegevens met een via het netwerk toegankelijke poort combineert heb je een apparaat dat rijp is om via het netwerk en zelfs het internet te worden aangevallen als de thermostaat via de router is blootgesteld", stelt Kitson.

De onderzoeker ontdekte zo'n 50 thermostaten die hij via internet kon bereiken. Zodra een aanvaller toegang tot de thermostaat heeft kan die bijvoorbeeld zien wanneer de verwarming moet worden in- en uitgeschakeld. Zodoende weet de aanvaller wanneer een woning of kantoor leeg is. Iets wat volgens Kitson gevoelige informatie is. Daarnaast kan een aanvaller ook de instelligen en schema's aanpassen en bijvoorbeeld de temperatuur aanpassen. Een andere mogelijkheid is het continu overschrijven van aanpassingen die door de gebruiker zijn gedaan.

Melding

Trustwave besloot de fabrikant voor de problemen te waarschuwen, maar dat werd een lang verhaal. Op de eerste e-mails volgde geen enkele reactie. Het ging zowel om directe e-mails als berichten die via het contactformulier werden verzonden. Vervolgens werd de technische helpdesk gebeld, maar die kon de beveiligingsonderzoeker niet helpen omdat hij officieel geen klant was. Daarom werd hij naar een lokale distributeur doorverwezen en moest hij het zomaar proberen om zijn melding door te geven.

De lokale distributeur dacht echter dat de onderzoeker hem wat probeerde te verkopen en stelde dat Trane een eigen beveiligingsteam heeft. Uiteindelijk kwam twee maanden later één van de e-mails bij de juiste persoon terecht, die liet weten dat Trane graag de problemen wilde verhelpen. Dat resulteerde in de ontwikkeling en het uitrollen van een beveiligingsupdate.

"Niet elk Internet of Things-beveiligingsverhaal eindigt met een patch", zegt Kitson. Hij adviseert eigenaren van een Internet of Things-apparaat om een apart wifi-netwerk voor dergelijke apparatuur in te richten. Op deze manier kan de internettoegang worden beperkt of helemaal worden dichtgezet. "In het ergste geval kun je de netwerktoegang helemaal uitschakelen", zo laat hij weten. De onderzoeker zegt dat alle aandacht voor Internet of Things-apparaten terecht is, aangezien teveel van dergelijke producten zonder na te denken over de beveiliging op de markt verschijnen.