image

Lek in slim alarm kan aanvaller controle over apparaat en klantdata geven

zondag 16 juli 2017, 08:37 door Redactie, 7 reacties
Laatst bijgewerkt: 16-07-2017, 13:40

Verschillende kwetsbaarheden in het slimme alarmsysteem iSmartAlarm kunnen een aanvaller op afstand volledige controle over het apparaat en de gegevens van alle gebruikers geven, waaronder hun adresgegevens. Daarvoor waarschuwt onderzoeker Ilia Shnaidman van securitybedrijf BullGuard. ISmartAlarm is een met internet verbonden alarmsysteem dat via een app is te bedienen. Het wordt ook in Nederland verkocht.

Volgens Shnaidman zit het apparaat slecht in elkaar en is het een eenvoudig doelwit voor aanvallers. In totaal vond de onderzoeker vijf beveiligingslekken in het alarmsysteem en de achterliggende infrastructuur. Zo controleert het alarmsysteem niet de geldigheid van aangeboden ssl-certificaten en is het mogelijk om een denial of service-aanval op het apparaat uit te voeren zodat het apparaat niet meer werkt.

Ook kan een aanvaller het apparaat uitschakelen, inschakelen of het "panic alarm" laten afgaan. Verder blijkt de achterliggende infrastructuur van iSmartAlarm toegankelijk. Zodoende kunnen van alle gebruikers de gegevens worden achterhaald, waaronder hun adresgegevens. Tevens is het volgens Shnaidman mogelijk om via deze kwetsbaarheid volledige controle over de apparaten te krijgen. Inbrekers zouden hier misbruik van kunnen maken, aldus de onderzoeker.

Hij waarschuwde de fabrikant op 30 januari van dit jaar. Twee dagen later vroeg iSmartAlarm om meer gegevens, die Shnaidman verstrekte. Een reactie bleef echter uit, waarop de onderzoeker het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit benaderde. Aangezien er een half jaar later nog geen updates beschikbaar zijn heeft Shnaidman de details vrijgegeven.

Reacties (7)
16-07-2017, 13:46 door Anoniem
Het zijn niet alleen slimme apparaten die dom in elkaar zitten. Ook consumenten-alarmen blijken de meest eenvoudige aanvallen niet te kunnen doorstaan. Dus pas op wat je in de bouwmarkt of elders koopt. Wat ik tot nu toe ben tegengekomen is regelrechte rotzooi van de bovenste plank.
16-07-2017, 13:50 door linuxpro
Goede reden dus om die rommel van i-not-zo-smartalarm in de vuilnisbak te kieperen. Na een jaar nog geen reactie..
16-07-2017, 23:09 door MathFox - Bijgewerkt: 16-07-2017, 23:09
Door linuxpro: Goede reden dus om die rommel van i-not-zo-smartalarm in de vuilnisbak te kieperen. Na een jaar nog geen reactie..
Linuxpro, je vergeet een actie: geld terugvragen bij de leverancier die je die zooi verkocht heeft.
17-07-2017, 00:58 door Briolet
Door linuxpro: …Na een jaar nog geen reactie..

10 juli minus 30 januari is bij mij nog niet eens een half jaar. Verder was er in twee dagen al een reactie.
17-07-2017, 12:31 door Anoniem
Dat is voor criminelen super handig! Die kunnen online een adres zoeken waar dit systeem is ingeschakeld (en de bewoners dus niet thuis zijn) en het dan zelf uitschakelen en toeslaan.

En het zou mij niet verbazen als de eigenaars van het doelwit niet veel andere beveiligingsmaatregelen hebben, want ze hebben toch een alarmsysteem...
17-07-2017, 20:07 door Anoniem
Ik heb aan de voorkant van het huis 2 dobermanns en aan de achterkant 4 ganzen , ze maken allemaal veel kabaal en zijn niet om te kopen of via internet te benaderen , de dobers gaan indien nodig zelfs nog een stapje verder dan enkel kabaal maken en de tandjes gaan ook iets dieper .
Verder veel grind om het huis en een vrouw die erg licht slaapt .

De noodzaak van deze zware bewaking is echter zijn doel voorbij geschoten omdat in huis niets meer te halen valt daar de eerder genoemde levensvormen die in en om het huis zwerven me arm hebben gevreten .
18-07-2017, 13:05 door Anoniem
Bij zulke fouten in een alarm, mag het toch wel direct een "niet-zo-slim alarm" genoemd worden :p
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.