De Nederlandse hacker Wesley Neelen heeft een beveiligingslek in een domoticasysteem van fabrikant Fibaro gevonden waardoor hij het systeem op afstand kon overnemen. Het Fibaro Home Center 2 communiceert via het Z-Wave-protocol draadloos met sensoren en apparaten in en rondom de woning.
De gateway is via een internetaansluiting ook extern op elke plek te benaderen om zo het domoticasysteem in de woning te bedienen. Neelen onderzocht het apparaat en ontdekte een ernstige kwetsbaarheid waardoor een aanvaller het Fibaro Home Center 2 en Fibaro Home Center Lite volledig kan overnemen als de webinterface toegankelijk is. De software van het systeem blijkt gebruikersinvoer niet goed te controleren, waardoor 'command injection' mogelijk is. De rechten van de gebruiker waarmee Neelen commando's kon uitvoeren waren echter beperkt.
De onderzoeker ontdekte dat deze gebruiker een aantal bestanden met rootrechten uitvoert. Door deze bestanden aan te roepen slaagde Neelen erin om uiteindelijk rootrechten en zo volledige controle over het systeem te krijgen. Fibaro werd op 22 februari gewaarschuwd, maar dat was een lastig proces, aldus Neelen. De werknemer waarmee hij in contact kwam zou het beveiligingslek niet de prioriteit hebben gegeven die het verdiende.
Uiteindelijk werd het probleem op 28 juni gepatcht en ontving Neelen een t-shirt. Gebruikers krijgen het advies om Fibaro-update 4.140 te installeren waarmee het probleem wordt verholpen. Gisteren waarschuwden onderzoekers nog voor een lek in een domoticasysteem van Insteon waarvoor nog geen patch beschikbaar is.
Deze posting is gelocked. Reageren is niet meer mogelijk.