Onderzoekers hebben in een smart stofzuiger van Trifo verschillende kwetsbaarheden ontdekt waardoor een aanvaller op afstand mee kan kijken met de camera van het apparaat. De fabrikant werd vorig jaar gewaarschuwd, maar gaf geen reactie. De beveiligingslekken zijn dan ook nog steeds aanwezig.
De problemen spelen in de Ironpie M6, een smart stofzuiger van Trifo die automatisch kamers stofzuigt en via een app op afstand is te bedienen. Het apparaat is voorzien van een camera en onderzoekers van securitybedrijf Checkmarx vroegen zich af hoe goed de stofzuiger is beveiligd. In totaal troffen de onderzoekers zes verschillende kwetsbaarheden aan. Het grootste probleem zit in de updateprocedure van de stofzuiger-app.
Die maakt namelijk geen gebruik van de Google Play Store, maar downloadt via http een APK-bestand van de updateserver. Een aanvaller tussen de gebruiker en het internet kan het verzoek aanpassen en zo een kwaadaardig APK-bestand aanbieden. Daarnaast maakt de stofzuiger gebruik van het MQTT-protocol. MQTT staat voor Message Queuing Telemetry Transport en is een protocol dat wordt gebruikt om smart home-apparaten mee te bedienen en met elkaar te laten verbinden.
In het geval van Trifo vormen de MQTT-servers een brug tussen de stofzuiger, de backend-server en de stofzuiger-app. De servers ontvangen informatie van de stofzuiger en geven die door aan de gebruikersinterface van de app. De authenticatie laat echter te wensen over waardoor een aanvaller met de MQTT-server verbinding kan maken en zich als de stofzuiger kan voordoen. Via MQTT is het ook mogelijk om toegang tot de camera van de stofzuiger te krijgen.
Trifo werd op 16 december over de kwetsbaarheden geïnformeerd, maar de stofzuigerfabrikant gaf geen reactie. De kwetsbaarheden zijn volgens de onderzoekers nog steeds aanwezig. Daarom zijn uitgebreide technische details nog niet vrijgegeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.