Onderzoekers hebben in de WeMo-huisautomatisering van Belkin en de bijbehorende Android-app kwetsbaarheden ontdekt waardoor aanvallers zowel de apparaten als smartphones waarmee ze worden bediend kunnen aanvallen. Via de WeMo-producten zijn allerlei apparaten in huis te bedienen.

Zo is het mogelijk om via de Android-app door WeMo aangesloten apparaten aan en uit te zetten, waar ze zich ook bevinden. Ook is het mogelijk om televisies, lampen, stereo-installaties, elektrische kachels, ventilatoren en andere apparaten draadloos te bedienen. Een aanvaller die toegang tot de smartphone van een gebruiker heeft kan een WeMo-product kwaadaardige instructies geven en bijvoorbeeld onderdeel van een botnet maken.

Belkin is gisteren met een update voor het probleem gekomen. Gebruikers moeten die echter wel zelf installeren. Belkin laat echter weten dat gebruikers via de Android-app voor de beschikbare update worden gewaarschuwd. Een aanvaller kan via de kwaadaardige instructies echter ook het updateproces saboteren, zodat het apparaat niet meer is te updaten.

Android-aanval

De tweede kwetsbaarheid bevond zich in de WeMo Android-app. Een aanvaller die toegang tot het netwerk van de gebruiker had kon willekeurige JavaScript-code in de context van de Android-app uitvoeren. Zodra de WeMo-app wordt gestart probeert het alle WeMo-producten in de buurt te vinden. Het is echter mogelijk om de naam van een apparaat door JavaScript-code te vervangen, die vervolgens door de smartphone of tablet wordt uitgevoerd.

De WeMo-app heeft van zichzelf toegang tot de locatie, bestandsopslag, camera, wifi-verbinding, adresboek, gebruikersaccounts en telefoonmogelijkheden. Een aanvaller zou via de aanval toegang tot alle foto's op een toestel kunnen krijgen en de locatie van het toestel kunnen volgen. In augustus werd deze kwetsbaarheid al in de Android-app gepatcht.

De beveiligingslekken werden door onderzoekers Scott Tenaglia en Joe Tanen van beveiligingsbedrijf Invincea ontdekt. "In het verleden maakten mensen zich misschien geen zorgen als er kwetsbaarheden in hun met internet verbonden lampen of crockpot werden gevonden, maar nu wij hebben ontdekt dat fouten in IoT-systemen ook gevolgen voor hun smartphones kunnen hebben, zullen mensen beter opletten", aldus Tenaglia. Tijdens de Black Hat Europe-conferentie deze week zullen de onderzoekers een presentatie over de kwetsbaarheden geven, zo melden Dark Reading en SecurityWeek.