Een onderzoeker heeft een beveiligingslek in de slimme ovens van de Britse fabrikant Aga ontdekt waardoor het mogelijk is om de apparaten op afstand in- en uit te schakelen. Aga produceert gietijzeren, warmteopslag fornuizen en ovens. Sommige van de ovens zijn via een app op afstand te bedienen.
Waar de gebruiker zich ook in de wereld bevindt, op elk moment kan de oven worden ingeschakeld zodat het eten op het juiste moment klaar is. Voor eigenaren die niet over een smartphone, tablet of laptop beschikken is het mogelijk om sms-berichten naar de oven te sturen. Op deze manier kan de oven ook worden in- en uitgeschakeld. Gebruikers kunnen zich via een webspagina voor het "op afstand koken" aanmelden. De website maakt geen gebruik van https, waardoor gegevens onversleuteld worden verstuurd. Daarnaast is het via de webpagina mogelijk om van alle gebruikers die zich hebben geregistreerd het telefoonnummer te achterhalen.
Verder blijkt dat Aga een wachtwoordbeleid van minimaal 5 karakters hanteert. "Dit is onverantwoord van Aga; de ovens van klanten zullen worden gecompromitteerd", zegt onderzoeker Ken Munro van het Britse beveiligingsbedrijf Pen Test Partners. Verder blijkt dat Aga ook niet het telefoonnummer of het account controleert. Zodoende is het mogelijk voor kwaadwillenden om de ovens in- of uit te schakelen. Alleen het versturen van een sms-bericht zou volstaan. Ook de webinterface biedt mogelijkheden voor misbruik. Zo kunnen er op kosten van AGA allerlei sms-berichten worden verstuurd.
Munro probeerde het bedrijf op 30 maart via Twitter te waarschuwen, maar kreeg geen reactie. Op 3 april stuurde hij naar verschillende e-mailadressen een e-mail, maar ook dit leverde geen reactie op. Een paar dagen later bleek Aga de onderzoeker op Twitter te hebben geblokkeerd. Munro besloot daarna het bedrijf te bellen en kreeg uiteindelijk iemand te spreken. De onderzoeker adviseerde de website uit de lucht te halen totdat de kwetsbaarheden zijn verholpen, maar het bedrijf wilde geen toezeggingen doen. Daarop heeft Munro zijn bevindingen openbaar gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.