Verschillende kwetsbaarheden in het slimme alarmsysteem iSmartAlarm kunnen een aanvaller op afstand volledige controle over het apparaat en de gegevens van alle gebruikers geven, waaronder hun adresgegevens. Daarvoor waarschuwt onderzoeker Ilia Shnaidman van securitybedrijf BullGuard. ISmartAlarm is een met internet verbonden alarmsysteem dat via een app is te bedienen. Het wordt ook in Nederland verkocht.
Volgens Shnaidman zit het apparaat slecht in elkaar en is het een eenvoudig doelwit voor aanvallers. In totaal vond de onderzoeker vijf beveiligingslekken in het alarmsysteem en de achterliggende infrastructuur. Zo controleert het alarmsysteem niet de geldigheid van aangeboden ssl-certificaten en is het mogelijk om een denial of service-aanval op het apparaat uit te voeren zodat het apparaat niet meer werkt.
Ook kan een aanvaller het apparaat uitschakelen, inschakelen of het "panic alarm" laten afgaan. Verder blijkt de achterliggende infrastructuur van iSmartAlarm toegankelijk. Zodoende kunnen van alle gebruikers de gegevens worden achterhaald, waaronder hun adresgegevens. Tevens is het volgens Shnaidman mogelijk om via deze kwetsbaarheid volledige controle over de apparaten te krijgen. Inbrekers zouden hier misbruik van kunnen maken, aldus de onderzoeker.
Hij waarschuwde de fabrikant op 30 januari van dit jaar. Twee dagen later vroeg iSmartAlarm om meer gegevens, die Shnaidman verstrekte. Een reactie bleef echter uit, waarop de onderzoeker het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit benaderde. Aangezien er een half jaar later nog geen updates beschikbaar zijn heeft Shnaidman de details vrijgegeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.