Onderzoeker vindt lek in slimme ovens van Aga
Een onderzoeker heeft een beveiligingslek in de slimme ovens van de Britse fabrikant Aga ontdekt waardoor het mogelijk is om de apparaten op afstand in- en uit te schakelen. Aga produceert gietijzeren, warmteopslag fornuizen en ovens. Sommige van de ovens zijn via een app op afstand te bedienen.
Waar de gebruiker zich ook in de wereld bevindt, op elk moment kan de oven worden ingeschakeld zodat het eten op het juiste moment klaar is. Voor eigenaren die niet over een smartphone, tablet of laptop beschikken is het mogelijk om sms-berichten naar de oven te sturen. Op deze manier kan de oven ook worden in- en uitgeschakeld. Gebruikers kunnen zich via een webspagina voor het "op afstand koken" aanmelden. De website maakt geen gebruik van https, waardoor gegevens onversleuteld worden verstuurd. Daarnaast is het via de webpagina mogelijk om van alle gebruikers die zich hebben geregistreerd het telefoonnummer te achterhalen.
Verder blijkt dat Aga een wachtwoordbeleid van minimaal 5 karakters hanteert. "Dit is onverantwoord van Aga; de ovens van klanten zullen worden gecompromitteerd", zegt onderzoeker Ken Munro van het Britse beveiligingsbedrijf Pen Test Partners. Verder blijkt dat Aga ook niet het telefoonnummer of het account controleert. Zodoende is het mogelijk voor kwaadwillenden om de ovens in- of uit te schakelen. Alleen het versturen van een sms-bericht zou volstaan. Ook de webinterface biedt mogelijkheden voor misbruik. Zo kunnen er op kosten van AGA allerlei sms-berichten worden verstuurd.
Munro probeerde het bedrijf op 30 maart via Twitter te waarschuwen, maar kreeg geen reactie. Op 3 april stuurde hij naar verschillende e-mailadressen een e-mail, maar ook dit leverde geen reactie op. Een paar dagen later bleek Aga de onderzoeker op Twitter te hebben geblokkeerd. Munro besloot daarna het bedrijf te bellen en kreeg uiteindelijk iemand te spreken. De onderzoeker adviseerde de website uit de lucht te halen totdat de kwetsbaarheden zijn verholpen, maar het bedrijf wilde geen toezeggingen doen. Daarop heeft Munro zijn bevindingen openbaar gemaakt.
Deze communicatie is niet versleuteld, en mijn telefoonnummer is op te zoeken.
Onverantwoordelijk...
Er zijn mensen die de maaltijd 's ochtends al in de oven zetten met een timer zodat het eten klaar staat als ze thuis komen. In mijn oven kun je b.v. instellen hoe laat het eten klaar moet zijn en hoe lang de bereidingstijd is. Dan hoef je er zelf niet over na te denken wanneer de oven moet opstarten. (sommige mensen zijn 's ochtends nog niet helder).
De Nederlanders koken niet zoveel in ovens, maar in Engeland is het heel gebruikelijk om de maaltijd in een oven te bereiden.
Alleen bij een AGA snap ik dit niet. Dat is zo'n blok staal dat je de oven al uren uur van te voren moet aanzetten. Ik ken mensen met zo'n Aga die hem daarom nooit uit zetten. Bij zo'n oven heeft het dus geen zin om je maaltijd er al 's ochtends in te zetten.
Er zijn mensen die de maaltijd 's ochtends al in de oven zetten met een timer zodat het eten klaar staat als ze thuis komen. In mijn oven kun je b.v. instellen hoe laat het eten klaar moet zijn en hoe lang de bereidingstijd is. Dan hoef je er zelf niet over na te denken wanneer de oven moet opstarten.
Verder blijkt dat Aga een wachtwoordbeleid van minimaal 5 karakters hanteert. "Dit is onverantwoord van Aga; de ovens van klanten zullen worden gecompromitteerd", zegt onderzoeker Ken Munro van het Britse beveiligingsbedrijf Pen Test Partners.
en er zit een beveiliging op de site (bijvoorbeeld dat je maar enkele keren kunt inloggen en bij teveel foute pogingen
geblokkeerd wordt, eventueel tijdelijk) dan is dat beslist niet zo.
Als je je geloofwaardigheid als deskundige niet teveel wilt verpesten moet je vooral niet aankomen met het verhaaltje
dat wachtwoorden altijd lang moeten zijn en anders gekraakt worden.
Alleen bij een AGA snap ik dit niet. Dat is zo'n blok staal dat je de oven al uren uur van te voren moet aanzetten. Ik ken mensen met zo'n Aga die hem daarom nooit uit zetten. Bij zo'n oven heeft het dus geen zin om je maaltijd er al 's ochtends in te zetten.
Dan kan het toch weer nuttig zijn om de oven op afstand aan te zetten zodat die al heet is als je thuis komt en je er
meteen de maaltijd in kunt zetten in plaats van eerst op het opwarmen te wachten??
Er zijn mensen die de maaltijd 's ochtends al in de oven zetten met een timer zodat het eten klaar staat als ze thuis komen. In mijn oven kun je b.v. instellen hoe laat het eten klaar moet zijn en hoe lang de bereidingstijd is.
Het nut van het kunnen instellen op afstand lijkt me beperkt tot wanneer je vergeten was het te regelen voor je de deur uitging of wanneer je op dat moment nog niet weet wanneer je weer thuis zal zijn of nog niet besloten hebt wat je gaat eten. Maar dat is vrij eenvoudig op te vangen door in die situaties te kiezen voor maaltijden die minder veeleisend zijn. Als je een wat groter project van het voorbereiden een maaltijd gaat maken dan vind ik het niet gek om daar niet pas op het laatste moment concentratie voor op te brengen, en dan neemt de toegevoegde waarde van dit soort mogelijkheden weer af.
Het lijkt vooral een van die "cool dat het kan"-gimmicks te zijn die het risico op misbruik van lekken wat mij betreft in de verste verte niet waard is.
Droogt dus lekker uit en houd ook maar rekening met een fikse bacteriënvermeerdering. Eet smakelijk!
Kan Astor - de trouwe viervoeter - de verleiding weerstaan om te proberen de ovendeur te openen?
Ook zonder huisdieren kan er nog genoeg misgaan bij voedselbereiding als er niemand bij is om in te grijpen.
Weer een gevalletje luiheid/gemakzucht wat nauwelijks voordelen biedt maar wel risico's met zich mee brengt.
En zo moeilijk is het nou ook weer niet om zelf binnen een half uur een gezonde maaltijd op tafel te zetten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
