image

Slim stopcontact kan e-mailwachtwoord gebruiker lekken

donderdag 18 augustus 2016, 16:53 door Redactie, 13 reacties

Een slim stopcontact dat via een smartphone-app is te bedienen blijkt allerlei kwetsbaarheden te bevatten waardoor het op afstand kan worden aangevallen. Een aanvaller zou zo inloggegevens van het e-mailadres van de gebruiker kunnen achterhalen of het stopcontact kunnen bedienen.

In het ergste geval kan er zelfs kwaadaardige firmware worden geïnstalleerd. Het Roemeense anti-virusbedrijf Bitdefender ontdekte de problemen, maar wil de naam van fabrikant niet bekendmaken aangezien de kwetsbaarheden nog niet zijn opgelost. Het slimme stopcontact beschikt over een eigen wifi-netwerk dat via de smartphone-app is te benaderen. Zodra de app verbinding heeft met het stopcontact moet de gebruiker de inloggevens van zijn eigen wifi-netwerk invoeren, zodat het stopcontact hierop wordt aangesloten.

Het eerste probleem waar de onderzoekers tegenaan liepen is dat het wifi-netwerk van het slimme stopcontact standaard een zwakke gebruikersnaam en wachtwoord gebruikt. Ook wordt gebruikers niet aangeraden het standaardwachtwoord van het stopcontact te veranderen. Verder blijkt dat de mobiele app om het stopcontact te bedienen gegevens zoals wifi-gebruikersnaam en -wachtwoord niet versleutelt. De gegevens die via de server van de fabrikant met de app en het apparaat worden uitgewisseld blijken ook niet te zijn versleuteld, maar alleen gecodeerd. Deze codering is weer te kraken. Verder beschikt het slimme stopcontact over de mogelijkheid om gebruikers een e-mail te sturen als het een apparaat aan- of uitzet. Hiervoor moet de gebruiker wel de inloggegevens van zijn e-mailaccount invoeren.

Aanvallen

Door de slechte beveiliging kan een aanvaller die het mac-adres en het standaardwachtwoord weet op afstand toegang tot het stopcontact krijgen om vervolgens instellingen aan te passen of de inloggegevens van het ingestelde e-mailaccount te achterhalen. Verder blijkt dat via het instellen van een nieuw wachtwoord er command-injectie mogelijk is. Op deze manier kan een aanvaller in het nieuwe wachtwoord allerlei opdrachten meegeven die het stopcontact vervolgens uitvoert. Zodoende is het mogelijk om het rootwachtwoord te overschrijven en de Telnet-dienst van het stopcontact te starten. Via Telnet kan de aanvaller ongeacht zijn locatie allerlei opdrachten uitvoeren en zelfs kwaadaardige firmware installeren. Hiermee kan bijvoorbeeld weer worden geprobeerd om andere apparaten in het netwerk aan te vallen.

"Tot nu toe waren de meeste Internet of Things-kwetsbaarheden alleen in de buurt van het huis aan te vallen waar ze werden gebruikt. Deze kwetsbaarheid geeft hackers de mogelijkheid om via het internet apparaten te besturen en de beperkingen van network address translation (NAT) te omzeilen. Dit is een ernstige kwetsbaarheid. We zouden een botnet van deze stopcontacten kunnen tegenkomen", zegt onderzoeker Alexandru Balan. De fabrikant van het stopcontact heeft aangegeven in het derde kwartaal van dit jaar met een oplossing te komen.

Zoals aangegeven wil Bitdefender de naam van de fabrikant niet bekendmaken. De virusbestrijder heeft echter een screenshot van het kwetsbare stopcontact in de analyse geplaatst. In het screenshot is de naam van de fabrikant onherkenbaar gemaakt. De naam van de afbeelding bevat echter nog steeds de naam van de fabrikant, namelijk Edimax.

Reacties (13)
18-08-2016, 17:24 door [Account Verwijderd]
Ik vind het voor een team security researchers wel erg vreemd dat ze niet de fabrikant vrij willen geven, maar wel een foto van het apparaat, en ook een screenshot van een email met het model nummer erin gewoon op de onderzoeks pagina plaatsen.

Is dit expres gedaan? (om druk te zetten bij de fabrikant) of is dit gewoon ontzettend slordig? (in welk geval je ze niet heel erg serieus meer kan nemen mijns inziens)
18-08-2016, 17:26 door Anoniem
De fabrikant van het stopcontact heeft aangegeven in het derde kwartaal van dit jaar met een oplossing te komen.
Maar niemand die deze updates gaat installeren...

Dit wordt nog interessant, want ik weet dat veel mensen nu al klagen over de (vele/grote) updates van hun windows pc. Nu moet je dus straks een patch cyclus doen van je hele huis.
Elke eerste dinsdag een rondje maken. Koelkast updaten, TV updaten, stopcontacten updaten, oh ja, en vergeet je wasmachine niet.
Dan heb je nog je telefoon, smartwatch en je thermostaat....

TheYOSH
18-08-2016, 17:57 door [Account Verwijderd]
Gehackte wandcontactdozen... och och. Huis van de toekomst. ehm ja ja... ehh Chriet Titulaer al gecontacteerd?
Mijn hemel dit vond ik in aspect en als totaalconcept in 1989 al de grootste humbug en nu moet dit nog serieus worden genomen? Voor mij een heel erg ver weg van mijn bed show. Ik heb ècht medelijden met degenen die zich zo laten indraaien met deze digitale gekte. De kwaadaardige stripfiguur Professor Sickbock zou het allemaal verzonnen kunnen hebben.
18-08-2016, 18:13 door Anoniem
En wat mankeert er aan een ouderwetse tijdschakelaar.
Waarom zou je nou zo iets kopen vraag ik mezelf altijd af.
18-08-2016, 18:28 door Briolet - Bijgewerkt: 18-08-2016, 18:29
Door Mindfart: Ik vind het voor een team security researchers wel erg vreemd dat ze niet de fabrikant vrij willen geven, maar wel een foto van het apparaat, …)

Inderdaad. Ze laten ook nog de eerste 3 bytes van het MAC adres zien. De rest is geblurred, maar de getoonde bytes geven al de geregistreerde firma van de ethernet interface aan. Als je vervolgens een Google search in de rubriek 'shopping' doet, op de universele engelse naam van deze plug, dan vind je hem direct, met weer dezelfde firmanaam als bij het MAC adres. € 40.-
19-08-2016, 10:00 door Anoniem
"Verder beschikt het slimme stopcontact over de mogelijkheid om gebruikers een e-mail te sturen als het een apparaat aan- of uitzet. Hiervoor moet de gebruiker wel de inloggegevens van zijn e-mailaccount invoeren."

Ehh...wat!? Waarom moet de gebruiker zijn email credentials invoeren voor het laten versturen van een email? Is een email adres (destination) niet voldoende?
19-08-2016, 11:09 door Anoniem
Lijkt me geen slim stopcontact.
19-08-2016, 11:49 door Anoniem
Door Anoniem:
De fabrikant van het stopcontact heeft aangegeven in het derde kwartaal van dit jaar met een oplossing te komen.
Maar niemand die deze updates gaat installeren...

Dit wordt nog interessant, want ik weet dat veel mensen nu al klagen over de (vele/grote) updates van hun windows pc. Nu moet je dus straks een patch cyclus doen van je hele huis.
Elke eerste dinsdag een rondje maken. Koelkast updaten, TV updaten, stopcontacten updaten, oh ja, en vergeet je wasmachine niet.
Dan heb je nog je telefoon, smartwatch en je thermostaat....

TheYOSH

Een oplossing! Een solution! Jaaa. (Daarover ging het in de Taptoe van midden jaren vijftig nou nooit. Ook niet over pielen met settings tot je kierewiet bent. Alleen maar over dat "we in het jaar 2000 met één druk op de knop ..." ik weet niet wat allemaal zouden kunnen doen.) Later werd het "vanuit je luie stoel". Nu zijn we er achter dat al die dagelijkse loopjes belangrijker zijn dan de sportschool. Dat laatste, dat noem ik nu echte vooruitgang, namelijk inzicht in hoe het lichaam functioneert. De consequentie is: stop nu maar met al die gemaksappjes en sta op om handmatig de gordijnen dicht te doen. Ja, je leest het goed: handmatig. Wow!
19-08-2016, 12:59 door Anoniem
Door Anoniem:
De fabrikant van het stopcontact heeft aangegeven in het derde kwartaal van dit jaar met een oplossing te komen.
Maar niemand die deze updates gaat installeren...

Dit wordt nog interessant, want ik weet dat veel mensen nu al klagen over de (vele/grote) updates van hun windows pc. Nu moet je dus straks een patch cyclus doen van je hele huis.
Elke eerste dinsdag een rondje maken. Koelkast updaten, TV updaten, stopcontacten updaten, oh ja, en vergeet je wasmachine niet.
Dan heb je nog je telefoon, smartwatch en je thermostaat....

TheYOSH

Dit is pas het begin van de maandelijke update rondje!!
Je moet ook nog de volgende apparaten updaten:
boormachine
tandenborstel
stofzuiger
pers voor fruitsappen
stijkijzer
soldeerbout
electrische deken
haardroger
en ga zomaar door.
Alles "cures looking for a desease"

Jan
19-08-2016, 13:16 door Anoniem
Lekker slim dan
19-08-2016, 13:43 door Anoniem
Door Briolet:
Door Mindfart: Ik vind het voor een team security researchers wel erg vreemd dat ze niet de fabrikant vrij willen geven, maar wel een foto van het apparaat, …)

Inderdaad. Ze laten ook nog de eerste 3 bytes van het MAC adres zien. De rest is geblurred, maar de getoonde bytes geven al de geregistreerde firma van de ethernet interface aan. Als je vervolgens een Google search in de rubriek 'shopping' doet, op de universele engelse naam van deze plug, dan vind je hem direct, met weer dezelfde firmanaam als bij het MAC adres. € 40.-

En wat dacht je van de link van de afbeelding: https://labs.bitdefender.com/wp-content/uploads/2016/08/edimax-300x300.png

Alsof die de merknaam niet prijsgeeft.
19-08-2016, 14:49 door ph-cofi
Bij de meeste van deze apparaten KAN de consument niets updaten, is simpelweg geen rekening mee gehouden. Remedie: voor aankoop van IoT devices op de fabrikantenwebsite nakijken hoe ze ge-update kunnen worden en alleen kopen als het wordt ondersteund. De industrie reageert vanzelf met betere en duurdere producten.

Tot die tijd:
[klant belt Wonderbra helpdesk] "Hallo Wonderbra customer support, help, de busybox van mijn vrouw's IoT BH is gehacked en nu kan ik haar niet meer via de iPhone bedienen!".
21-08-2016, 15:41 door Anoniem
Door Anoniem: En wat mankeert er aan een ouderwetse tijdschakelaar.
Waarom zou je nou zo iets kopen vraag ik mezelf altijd af.
Omdat het cool en sexy is en met je smartphone werkt, zodat je die niet voor niets gekocht hebt. Daar draait het leven toch om?

De kledingindustrie was er al vroeg bij: modeontwerpers ontwerpen kleren, modetijdschriften en trendwatchers vertellen je dat dát het uiterlijk van het nieuwe seizoen is, mensen kopen dat massaal omdat ze er anders niet bijhoren, en bij de overgang van modeseizoenen kan je geen fatsoenlijke spullen kopen omdat iedereen alles in de uitverkoop heeft en de nieuwe collectie nog niet binnen is. De trendgevoeligheid is belangrijker dan een vervangend kledingstuk kunnen kopen op het moment dat je het nodig hebt.

Technologiebedrijven doen precies hetzelfde. De vorige rage is "de cloud", nu zijn het "internet of things" en "slimme" apparaten aan de beurt. We worden er massaal lekker mee gemaakt, willen het hebben omdat ze ons aan weten te praten dat we iets missen als we niet enthousiast worden, en daar gaan we weer de volgende rage in. Het wordt straks verkocht met een air alsof het volkomen vanzelfsprekend is dat je het ook wilt hebben, als je zegt dat je een dom apparaat wilt krijg je straks ongetwijfeld te horen dat klanten nou eenmaal slimme apparaten wilt. Dat heb ik bij diverse andere rages als vast patroon leren herkennen, men doet gewoon alsof jouw mening als klant niet de mening van een klant is, zodat jij het idee krijgt dat je er niet meer bij hoort als je niet in die opgedrongen voorkeuren meegaat.

Ik ben al jaren geleden tot de slotsom gekomen dat er op veel gebieden helemaal geen wet van vraag en aanbod bestaat, het is een wet van aanbod en vraag, het zijn de aanbieders die de vraag creëren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.