Slim stopcontact kan e-mailwachtwoord gebruiker lekken
Een slim stopcontact dat via een smartphone-app is te bedienen blijkt allerlei kwetsbaarheden te bevatten waardoor het op afstand kan worden aangevallen. Een aanvaller zou zo inloggegevens van het e-mailadres van de gebruiker kunnen achterhalen of het stopcontact kunnen bedienen.
In het ergste geval kan er zelfs kwaadaardige firmware worden geïnstalleerd. Het Roemeense anti-virusbedrijf Bitdefender ontdekte de problemen, maar wil de naam van fabrikant niet bekendmaken aangezien de kwetsbaarheden nog niet zijn opgelost. Het slimme stopcontact beschikt over een eigen wifi-netwerk dat via de smartphone-app is te benaderen. Zodra de app verbinding heeft met het stopcontact moet de gebruiker de inloggevens van zijn eigen wifi-netwerk invoeren, zodat het stopcontact hierop wordt aangesloten.
Het eerste probleem waar de onderzoekers tegenaan liepen is dat het wifi-netwerk van het slimme stopcontact standaard een zwakke gebruikersnaam en wachtwoord gebruikt. Ook wordt gebruikers niet aangeraden het standaardwachtwoord van het stopcontact te veranderen. Verder blijkt dat de mobiele app om het stopcontact te bedienen gegevens zoals wifi-gebruikersnaam en -wachtwoord niet versleutelt. De gegevens die via de server van de fabrikant met de app en het apparaat worden uitgewisseld blijken ook niet te zijn versleuteld, maar alleen gecodeerd. Deze codering is weer te kraken. Verder beschikt het slimme stopcontact over de mogelijkheid om gebruikers een e-mail te sturen als het een apparaat aan- of uitzet. Hiervoor moet de gebruiker wel de inloggegevens van zijn e-mailaccount invoeren.
Aanvallen
Door de slechte beveiliging kan een aanvaller die het mac-adres en het standaardwachtwoord weet op afstand toegang tot het stopcontact krijgen om vervolgens instellingen aan te passen of de inloggegevens van het ingestelde e-mailaccount te achterhalen. Verder blijkt dat via het instellen van een nieuw wachtwoord er command-injectie mogelijk is. Op deze manier kan een aanvaller in het nieuwe wachtwoord allerlei opdrachten meegeven die het stopcontact vervolgens uitvoert. Zodoende is het mogelijk om het rootwachtwoord te overschrijven en de Telnet-dienst van het stopcontact te starten. Via Telnet kan de aanvaller ongeacht zijn locatie allerlei opdrachten uitvoeren en zelfs kwaadaardige firmware installeren. Hiermee kan bijvoorbeeld weer worden geprobeerd om andere apparaten in het netwerk aan te vallen.
"Tot nu toe waren de meeste Internet of Things-kwetsbaarheden alleen in de buurt van het huis aan te vallen waar ze werden gebruikt. Deze kwetsbaarheid geeft hackers de mogelijkheid om via het internet apparaten te besturen en de beperkingen van network address translation (NAT) te omzeilen. Dit is een ernstige kwetsbaarheid. We zouden een botnet van deze stopcontacten kunnen tegenkomen", zegt onderzoeker Alexandru Balan. De fabrikant van het stopcontact heeft aangegeven in het derde kwartaal van dit jaar met een oplossing te komen.
Zoals aangegeven wil Bitdefender de naam van de fabrikant niet bekendmaken. De virusbestrijder heeft echter een screenshot van het kwetsbare stopcontact in de analyse geplaatst. In het screenshot is de naam van de fabrikant onherkenbaar gemaakt. De naam van de afbeelding bevat echter nog steeds de naam van de fabrikant, namelijk Edimax.
Is dit expres gedaan? (om druk te zetten bij de fabrikant) of is dit gewoon ontzettend slordig? (in welk geval je ze niet heel erg serieus meer kan nemen mijns inziens)
Dit wordt nog interessant, want ik weet dat veel mensen nu al klagen over de (vele/grote) updates van hun windows pc. Nu moet je dus straks een patch cyclus doen van je hele huis.
Elke eerste dinsdag een rondje maken. Koelkast updaten, TV updaten, stopcontacten updaten, oh ja, en vergeet je wasmachine niet.
Dan heb je nog je telefoon, smartwatch en je thermostaat....
TheYOSH
Mijn hemel dit vond ik in aspect en als totaalconcept in 1989 al de grootste humbug en nu moet dit nog serieus worden genomen? Voor mij een heel erg ver weg van mijn bed show. Ik heb ècht medelijden met degenen die zich zo laten indraaien met deze digitale gekte. De kwaadaardige stripfiguur Professor Sickbock zou het allemaal verzonnen kunnen hebben.
Waarom zou je nou zo iets kopen vraag ik mezelf altijd af.
Inderdaad. Ze laten ook nog de eerste 3 bytes van het MAC adres zien. De rest is geblurred, maar de getoonde bytes geven al de geregistreerde firma van de ethernet interface aan. Als je vervolgens een Google search in de rubriek 'shopping' doet, op de universele engelse naam van deze plug, dan vind je hem direct, met weer dezelfde firmanaam als bij het MAC adres. € 40.-
Ehh...wat!? Waarom moet de gebruiker zijn email credentials invoeren voor het laten versturen van een email? Is een email adres (destination) niet voldoende?
Dit wordt nog interessant, want ik weet dat veel mensen nu al klagen over de (vele/grote) updates van hun windows pc. Nu moet je dus straks een patch cyclus doen van je hele huis.
Elke eerste dinsdag een rondje maken. Koelkast updaten, TV updaten, stopcontacten updaten, oh ja, en vergeet je wasmachine niet.
Dan heb je nog je telefoon, smartwatch en je thermostaat....
TheYOSH
Een oplossing! Een solution! Jaaa. (Daarover ging het in de Taptoe van midden jaren vijftig nou nooit. Ook niet over pielen met settings tot je kierewiet bent. Alleen maar over dat "we in het jaar 2000 met één druk op de knop ..." ik weet niet wat allemaal zouden kunnen doen.) Later werd het "vanuit je luie stoel". Nu zijn we er achter dat al die dagelijkse loopjes belangrijker zijn dan de sportschool. Dat laatste, dat noem ik nu echte vooruitgang, namelijk inzicht in hoe het lichaam functioneert. De consequentie is: stop nu maar met al die gemaksappjes en sta op om handmatig de gordijnen dicht te doen. Ja, je leest het goed: handmatig. Wow!
Dit wordt nog interessant, want ik weet dat veel mensen nu al klagen over de (vele/grote) updates van hun windows pc. Nu moet je dus straks een patch cyclus doen van je hele huis.
Elke eerste dinsdag een rondje maken. Koelkast updaten, TV updaten, stopcontacten updaten, oh ja, en vergeet je wasmachine niet.
Dan heb je nog je telefoon, smartwatch en je thermostaat....
TheYOSH
Dit is pas het begin van de maandelijke update rondje!!
Je moet ook nog de volgende apparaten updaten:
boormachine
tandenborstel
stofzuiger
pers voor fruitsappen
stijkijzer
soldeerbout
electrische deken
haardroger
en ga zomaar door.
Alles "cures looking for a desease"
Jan
Inderdaad. Ze laten ook nog de eerste 3 bytes van het MAC adres zien. De rest is geblurred, maar de getoonde bytes geven al de geregistreerde firma van de ethernet interface aan. Als je vervolgens een Google search in de rubriek 'shopping' doet, op de universele engelse naam van deze plug, dan vind je hem direct, met weer dezelfde firmanaam als bij het MAC adres. € 40.-
En wat dacht je van de link van de afbeelding: https://labs.bitdefender.com/wp-content/uploads/2016/08/edimax-300x300.png
Alsof die de merknaam niet prijsgeeft.
Tot die tijd:
[klant belt Wonderbra helpdesk] "Hallo Wonderbra customer support, help, de busybox van mijn vrouw's IoT BH is gehacked en nu kan ik haar niet meer via de iPhone bedienen!".
Waarom zou je nou zo iets kopen vraag ik mezelf altijd af.
De kledingindustrie was er al vroeg bij: modeontwerpers ontwerpen kleren, modetijdschriften en trendwatchers vertellen je dat dát het uiterlijk van het nieuwe seizoen is, mensen kopen dat massaal omdat ze er anders niet bijhoren, en bij de overgang van modeseizoenen kan je geen fatsoenlijke spullen kopen omdat iedereen alles in de uitverkoop heeft en de nieuwe collectie nog niet binnen is. De trendgevoeligheid is belangrijker dan een vervangend kledingstuk kunnen kopen op het moment dat je het nodig hebt.
Technologiebedrijven doen precies hetzelfde. De vorige rage is "de cloud", nu zijn het "internet of things" en "slimme" apparaten aan de beurt. We worden er massaal lekker mee gemaakt, willen het hebben omdat ze ons aan weten te praten dat we iets missen als we niet enthousiast worden, en daar gaan we weer de volgende rage in. Het wordt straks verkocht met een air alsof het volkomen vanzelfsprekend is dat je het ook wilt hebben, als je zegt dat je een dom apparaat wilt krijg je straks ongetwijfeld te horen dat klanten nou eenmaal slimme apparaten wilt. Dat heb ik bij diverse andere rages als vast patroon leren herkennen, men doet gewoon alsof jouw mening als klant niet de mening van een klant is, zodat jij het idee krijgt dat je er niet meer bij hoort als je niet in die opgedrongen voorkeuren meegaat.
Ik ben al jaren geleden tot de slotsom gekomen dat er op veel gebieden helemaal geen wet van vraag en aanbod bestaat, het is een wet van aanbod en vraag, het zijn de aanbieders die de vraag creëren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
