Nieuws

Aanvaller kan robotstofzuiger door lek gebruiken voor spionage

vrijdag 20 juli 2018, 10:58 door Redactie, 15 reacties

Onderzoekers hebben in robotstofzuigers van fabrikant Diqee twee kwetsbaarheden ontdekt waardoor een aanvaller het apparaat kan overnemen en de eigenaar op afstand kan bespioneren. De stofzuigers beschikken over wifi, een webcam met nachtzicht en zijn via een smartphone te bedienen.

De eerste kwetsbaarheid maakt het mogelijk voor een aanvaller om op afstand willekeurige code uit te voeren. Door het versturen van een speciaal udp-verzoek is het namelijk mogelijk om commando's met "superuser" rechten uit te voeren, zo stelt securitybedrijf Positive Technologies dat de kwetsbaarheden ontdekte. Om de aanval uit te voeren moet de aanvaller zich wel eerst authenticeren. Volgens de onderzoekers is dit geen echt obstakel, omdat de stofzuigers allemaal dezelfde standaard gebruikersnaam en wachtwoord hebben.

Om de tweede kwetsbaarheid te misbruiken moet een aanvaller fysieke toegang tot de stofzuiger hebben. Dit beveiligingslek bevindt zich in het updatemechanisme van de stofzuiger. Zodra er een microSD-kaart is aangesloten zal het systeem firmwarebestanden vanuit een bepaalde map op de microSD-kaart met superuser-rechten uitvoeren, zonder dat hierbij de digitale handtekening van het bestand wordt gecontroleerd. Een aanvaller kan zodoende een speciaal script laten uitvoeren dat willekeurige code uitvoert, zoals een sniffer die wifi-data van andere apparaten onderschept.

"Net als andere IoT-apparaten kunnen deze robotstofzuigers aan een botnet worden toegevoegd voor het uitvoeren van ddos-aanvallen, maar dat is niet eens het ergste scenario, tenminste voor de eigenaren. Aangezien de stofzuiger over wifi, een webcam met nachtzicht en smartphonebediening beschikt, kan een aanvaller in het geheim de eigenaar bespioneren", aldus de onderzoekers.

Ze waarschuwen dat de kwetsbaarheden mogelijk ook in andere Internet of Things-apparaten aanwezig zijn die dezelfde videomodule als de Diqee-robotstofzuigers gebruiken. Het kan dan gaan om surveillancecamera's, digitale videorecorders en smart deurbellen. De onderzoekers vermelden niet of de gevonden kwetsbaarheden zijn verholpen.

Malwarebytes neemt verschillende adblockers onder de loep

Amerikaans HR-bedrijf ComplyRight getroffen door datalek

Reacties (15)

20-07-2018, 12:36 door Anoniem

In wat voor maatschappij zijn we in vredesnaam terecht gekomen, als we zelfs de kinderspeelgoed, babyfoons en stofzuigers niet meer kunnen vertrouwen? Men zou bijna gaan terugverlangen naar de eenvoud van de jaren 1950.

20-07-2018, 14:04 door SPer

Door Anoniem: In wat voor maatschappij zijn we in vredesnaam terecht gekomen, als we zelfs de kinderspeelgoed, babyfoons en stofzuigers niet meer kunnen vertrouwen? Men zou bijna gaan terugverlangen naar de eenvoud van de jaren 1950.

Nou ja behalve het afwassen dan ;-)

20-07-2018, 14:14 door Anoniem

Door SPer:

Nou ja behalve het afwassen dan ;-)

Dat doet de vrouw dan ;-)

20-07-2018, 14:40 door Anoniem

een webcam met nachtzicht

Opdat je ten alle tijden kunt kijken waar je robot zich bevindt?

20-07-2018, 15:33 door Anoniem

Door Anoniem:

Door SPer:

Nou ja behalve het afwassen dan ;-)

Dat doet de vrouw dan ;-)

Nou mooi niet!
Mijn zus en ik hebben in die jaren heel wat in de keuken gestaan om de vaat te doen (voor een gezin met totaal 8 personen). Moeder wist dat prima te delegeren en dit werk werd als heel normaal beschouwd. Elke avond, vaste prik! De overige kinderen waren nog te klein.
En ik weet dat we niet de enigen waren.

Toch hebben we er niet echt onder geleden, er waren andere dingen die (in een gezin) veel vervelender (of zelfs zeer ernstig) waren...

20-07-2018, 20:52 door Anoniem

Dit kan gewoon "stand alone" waarom toch via internet? Het is zo'n flauwekul.
Net als met automatische gordijnen: het hoeft niet op internet.
Het wordt vanzelf licht en weer donker en er bestaan lichtsensoren die dit aan een (micro)controller kunnen doorgeven
en dan regelt de onafhankelijke software wel wanneer ze (ongeveer) open en dicht gaan.
Ook een tijdelijk plotselinge donkere lucht hoeft weinig of geen invloed te hebben.

Voor wat betreft afwassen/afdrogen: op kantoor had ik er best plezier in.
Het is zoals met al dit soort dingen, hoe saai het ook is, maak er een feestje van.

20-07-2018, 21:45 door Anoniem

Met een stofzuiger moet je kunnen stofzuigen, verder niks. Je moet wel een halve zool zijn om een dergelijke robotstofzuiger te kopen met wifi, nachtzicht en al die onzin ingebouwd. Je haalt zelf die kwetsbaarheden in huis...

21-07-2018, 08:30 door Anoniem

Door Anoniem: Met een stofzuiger moet je kunnen stofzuigen, verder niks. Je moet wel een halve zool zijn om een dergelijke robotstofzuiger te kopen met wifi, nachtzicht en al die onzin ingebouwd. Je haalt zelf die kwetsbaarheden in huis...

Ja, maar de meeste mensen hebben zo grondig geen inzicht in hoe ICT werkt dat ze de kwetsbaarheden niet bewust binnenhalen. Van een fabrikant mag je verwachten dat die verstand heeft van wat hij produceert. Zich bewustzijn van de kwetsbaarheden hoort daarmee tot de verantwoordelijkheden van de fabrikant. Die kan je er dus ook op aanspreken.

Als je het daar niet mee eens bent, vraag je dan eens af of je een stofzuiger zou accepteren waarbij een substantieel deel van de luchtstroom niet door de slang loopt omdat de fabrikant te incompetent is om lekken te voorkomen. Zeg je dan tegen jezelf dat je maar niet zo stom had moeten zijn om een slecht produkt te kopen of had je mogen verwachten dat dat ding het behoorlijk doet? Als je vindt dat je als klant iets mag verwachten, vraag je dan eens af waarom dat niet voor het ICT-deel van een produkt zou gelden.

21-07-2018, 13:00 door Anoniem

Bovenop het feit dat de consument zich niet het IT bewustzijn heeft verworven om de risico's van het gebruik goed in te kunnen schatten bij iOT apparatuur, kun je een heleboel fabrikanten ook nog eens dik verwijten dat ze alles maar op de markt plempen met onveilige default instellingen, zonder de nodige documentatie om het spul veilig in een netwerk te hangen en zonder de nodige updates en upgrades, mocht het spul gehackt worden en/of kwetsbaar blijken.

In zulke gevallen koop je en/of gebruik je het niever niet aan het Internet gehangen. Dan is het gebruik van "slimme"apparaten eigenlijk oliedom, zowel in veiligheidsopzicht of als je privacy je lief is.

Maar dat laatste, de privacybescherming, is eigenlijk al de das omgedaan- als ik naar de HTM klantenservice site ga en er vervolgens 62 trackingverzoeken van die site moeten worden verhinderd.

We moeten komen tot hardware-matige totaal IoT beveiligingsoplossing. Die zijn er al voor USA en Israel, maar nog niet hier gearriveerd. Voorlopig liggen bij Google de beveiligingsafdeling en de advertentie core-business afdeling nog flink met elkaar in de clinch en naar schijnt heeft de advertentiepoot het laatste woord.

luntrus

21-07-2018, 16:13 door Anoniem

Het is een kwestie van tijd voordat de firmware van seksspeeltjes voor vrouwen, zoals een vibrator, worden gehacked. Dan zul je zien hoe snel er draconische wetgeving voor een veiliger Internet of Things wordt aangenomen.

21-07-2018, 19:47 door Anoniem

Een verbod op internet of things spullen zou veel beter zijn. Dan mogen de fabrikanten die onnodige rommel er niet meer in stoppen en is beveiliging overbodig.

21-07-2018, 23:36 door Anoniem

Ik denk dat de overheid de slimme meters als IoT spul nooit gaat verbieden, veel te handig om tegen een laag budget iedereen te controleren. Waar technologie, business en overheid drie handen op ene buik zijn.

Daarom Anoniem van 19:47 zal je wens wel een wensdroom blijven, die biljoen keer biljoen keer biljoen IPv6 adressen moeten toch toegekend worden, de matrix zal en moet worden opgetuigd, de globalist wacht erop. Maak je dus geen illusies.

22-07-2018, 14:16 door Anoniem

Hebben we allemaal de deep scan hier gedaan?: https://iotscanner.bullguard.com/deep-scan-completed

luntrus

22-07-2018, 23:31 door Anoniem

Door Anoniem: Hebben we allemaal de deep scan hier gedaan?: https://iotscanner.bullguard.com/deep-scan-completed

luntrus

Voor optimaal resultaat zou deze link gebruiken: https://iotscanner.bullguard.com

23-07-2018, 16:00 door Anoniem

Opdat je ten alle tijden kunt kijken waar je robot zich bevindt?

Interessante vraag. Hieronder stukje over de reden achter de webcam, op dit soort robots ;)

---
While some high-end robotic vacuums, like the iRobot Roomba 980, use a camera to help them navigate their surroundings, the Diqee uses a camera to turn the device into a surveillance system. The idea is, as the vacuum charges its batteries or drives around your home to clean the carpets, you can remotely view the camera feed to check in on your property.

https://www.gearbrain.com/robotic-vacuum-cleaner-camera-hack-2588365462.html
---

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer