image

Beveiligingslek geeft toegang tot camera smart stofzuiger

vrijdag 28 februari 2020, 13:51 door Redactie, 17 reacties

Onderzoekers hebben in een smart stofzuiger van Trifo verschillende kwetsbaarheden ontdekt waardoor een aanvaller op afstand mee kan kijken met de camera van het apparaat. De fabrikant werd vorig jaar gewaarschuwd, maar gaf geen reactie. De beveiligingslekken zijn dan ook nog steeds aanwezig.

De problemen spelen in de Ironpie M6, een smart stofzuiger van Trifo die automatisch kamers stofzuigt en via een app op afstand is te bedienen. Het apparaat is voorzien van een camera en onderzoekers van securitybedrijf Checkmarx vroegen zich af hoe goed de stofzuiger is beveiligd. In totaal troffen de onderzoekers zes verschillende kwetsbaarheden aan. Het grootste probleem zit in de updateprocedure van de stofzuiger-app.

Die maakt namelijk geen gebruik van de Google Play Store, maar downloadt via http een APK-bestand van de updateserver. Een aanvaller tussen de gebruiker en het internet kan het verzoek aanpassen en zo een kwaadaardig APK-bestand aanbieden. Daarnaast maakt de stofzuiger gebruik van het MQTT-protocol. MQTT staat voor Message Queuing Telemetry Transport en is een protocol dat wordt gebruikt om smart home-apparaten mee te bedienen en met elkaar te laten verbinden.

In het geval van Trifo vormen de MQTT-servers een brug tussen de stofzuiger, de backend-server en de stofzuiger-app. De servers ontvangen informatie van de stofzuiger en geven die door aan de gebruikersinterface van de app. De authenticatie laat echter te wensen over waardoor een aanvaller met de MQTT-server verbinding kan maken en zich als de stofzuiger kan voordoen. Via MQTT is het ook mogelijk om toegang tot de camera van de stofzuiger te krijgen.

Trifo werd op 16 december over de kwetsbaarheden geïnformeerd, maar de stofzuigerfabrikant gaf geen reactie. De kwetsbaarheden zijn volgens de onderzoekers nog steeds aanwezig. Daarom zijn uitgebreide technische details nog niet vrijgegeven.

Image

Reacties (17)
28-02-2020, 14:10 door Anoniem
Handige fout. Mocht blijken, dat ook de locatie van de stofzuiger kan worden achterhaald, is dit een ideale spytool. Zeker voor inbrekers die eerst het doel willen verkennen.
28-02-2020, 14:26 door Briolet
Door Anoniem: Handige fout. Mocht blijken, dat ook de locatie van de stofzuiger kan worden achterhaald, is dit een ideale spytool. Zeker voor inbrekers die eerst het doel willen verkennen.

Je kunt b.v. naar de voordeur rijden en wachten tot er brieven in de bus vallen. De helft zal met het adres naar boven terechtkomen.
28-02-2020, 14:28 door Anoniem
Toch maar terug naar de Miele
28-02-2020, 14:38 door Anoniem
"Trifo werd op 16 december over de kwetsbaarheden geïnformeerd, maar de stofzuigerfabrikant gaf geen reactie. De kwetsbaarheden zijn volgens de onderzoekers nog steeds aanwezig. Daarom zijn uitgebreide technische details nog niet vrijgegeven."
Blacklisten van die firma heeft ook weinig zin. Want hun doelgroep heeft, behalve evt. hun smartphone, geen enkel benul van cybersecurity. Die denken dat hun stofzuiger 'op televisie komt'.
Wederom heeft de (gedateerde, corrupte en digibete) warenautoriteit gefaald.
28-02-2020, 17:09 door Anoniem
Door Anoniem: Handige fout. Mocht blijken, dat ook de locatie van de stofzuiger kan worden achterhaald, is dit een ideale spytool. Zeker voor inbrekers die eerst het doel willen verkennen.

Een TerraHertz camera kan gewoon door gordijnen heenkijken, en met ultrasound kun je door muren heenkijken. Er bestaan camera's die om hoekjes kunnen kijken. Waarom zou je een stofzuiger hacken, want dit laat sporen achter.
28-02-2020, 17:14 door Anoniem
Dan lijk het ook niet zo ernstig meer als alleen je TV een microfoon heeft.
Iedereen accepteert het en went aan het idee, want je kan niet zonder spy-phone / aai-phone
28-02-2020, 17:57 door [Account Verwijderd]
S...stofzuigerapp?...Huh? Is dat een een vinding van Kamagurka en Herr Seele?
28-02-2020, 18:19 door linux4
Door Anoniem: Toch maar terug naar de Miele

Zo is dat, gewoon zelf even stofzuigen. Beetje fysiek werk is voor niemand slecht. En een Miele gaat heel lang mee. Oh ja, hij heeft enkel verbinding met het lichtnet, kan niet gehackt worden.
28-02-2020, 18:41 door Briolet - Bijgewerkt: 28-02-2020, 18:43
Door linux4:
Door Anoniem: Toch maar terug naar de Miele

Zo is dat, gewoon zelf even stofzuigen. Beetje fysiek werk is voor niemand slecht. En een Miele gaat heel lang mee. Oh ja, hij heeft enkel verbinding met het lichtnet, kan niet gehackt worden.

Dat ligt aan het model. Deze miele stofzuiger is ook met een app op de telefoon te bedienen: https://www.miele.nl/c/robotstofzuiger-3129.htm

Via de twee camera's aan de voorkant kan onderweg altijd worden gekeken of thuis alles in orde is en de Scout RX2 nog aan het werk is. Daarbij kan het reinigingsproces in realtime vanuit het perspectief van het apparaat worden gevolgd. Zo weet u altijd waar de Scout op dat moment is. Met de pijltoetsen kan hij eenvoudig worden genavigeerd. Natuurlijk zijn de live camerabeelden versleuteld2.
28-02-2020, 19:35 door Anoniem
Door Briolet: Je kunt b.v. naar de voordeur rijden en wachten tot er brieven in de bus vallen. De helft zal met het adres naar boven terechtkomen.

Die gegevens staan in de vorm van GPS coördinaten vermeld op het mobieltje van moeder de vrouw, of anders wel op het speeltje van haar held op sokken, die meer tijd doorbrengt op de spelcomputer dan met het huishouden :)
28-02-2020, 21:08 door linux4
Door Briolet:
Door linux4:
Door Anoniem: Toch maar terug naar de Miele

Zo is dat, gewoon zelf even stofzuigen. Beetje fysiek werk is voor niemand slecht. En een Miele gaat heel lang mee. Oh ja, hij heeft enkel verbinding met het lichtnet, kan niet gehackt worden.

Dat ligt aan het model. Deze miele stofzuiger is ook met een app op de telefoon te bedienen: https://www.miele.nl/c/robotstofzuiger-3129.htm

Via de twee camera's aan de voorkant kan onderweg altijd worden gekeken of thuis alles in orde is en de Scout RX2 nog aan het werk is. Daarbij kan het reinigingsproces in realtime vanuit het perspectief van het apparaat worden gevolgd. Zo weet u altijd waar de Scout op dat moment is. Met de pijltoetsen kan hij eenvoudig worden genavigeerd. Natuurlijk zijn de live camerabeelden versleuteld2.

Ik dacht meer aan deze Miele: https://www.coolblue.nl/product/823030/miele-complete-c3-powerline-pure-black.html
29-02-2020, 10:09 door Anoniem
Door Anoniem: Handige fout. Mocht blijken, dat ook de locatie van de stofzuiger kan worden achterhaald, is dit een ideale spytool. Zeker voor inbrekers die eerst het doel willen verkennen.
Waar komt toch dat idee vandaan dat inbrekers tijd en moeite zouden willen steken in het van te voren verkennen
van een doel, of in het controleren of de bewoners thuis zijn. Dat interesseert inbrekers helemaal niet!
Jullie denken dan inbrekers normaal functionerende mensen zijn die kunnen nadenken, risico's afwegen, slimme
oplossingen bedenken, en moderne technologie inzetten. Als dat het geval was, dan waren ze geen inbreker geweest.
29-02-2020, 10:14 door [Account Verwijderd]
Miele:
"Via de twee camera's aan de voorkant kan onderweg altijd worden gekeken of thuis alles in orde is en de Scout RX2 nog aan het werk is. Daarbij kan het reinigingsproces in realtime vanuit het perspectief van het apparaat worden gevolgd."

Oh ja... onderweg kan gekeken worden... We letten tegenwoordig onderweg op álles behalve onze omgeving en álles wat daarbij hoort. Fijn zo!....
Op wereldvreemden die "onderweg kijken" of hun stofzuiger niet een kiertje overslaat of de krant opzuigt (zo'n Miele heeft een enóóórme zuigkracht) moet de alerte aan het verkeer deelnemende mens (uitstervende diersoort) dus óók al extra gaan opletten op onderweg kijkende mensen die helemaal 'in de stofzuigerapp zitten met hun hoofd' i.p.v. bij het verkeer.

Geweldige Iot innovatie weer. (valt er dit jaar nog een eikelprijs te vergeven... MIele heeft zich genomineerd)
29-02-2020, 12:13 door Anoniem
Door Anoniem:
Door Anoniem: Handige fout. Mocht blijken, dat ook de locatie van de stofzuiger kan worden achterhaald, is dit een ideale spytool. Zeker voor inbrekers die eerst het doel willen verkennen.
Waar komt toch dat idee vandaan dat inbrekers tijd en moeite zouden willen steken in het van te voren verkennen
van een doel, of in het controleren of de bewoners thuis zijn. Dat interesseert inbrekers helemaal niet!
Jullie denken dan inbrekers normaal functionerende mensen zijn die kunnen nadenken, risico's afwegen, slimme
oplossingen bedenken, en moderne technologie inzetten. Als dat het geval was, dan waren ze geen inbreker geweest.

Dit dus. Ik begrijp boeven sws niet. Dan ge je met veel moeite, gevaar en risico geld stelen om daarmee een dure auto te kopen. Waarom steel de boef die auto niet?
29-02-2020, 12:21 door Anoniem
Door Anoniem: Een TerraHertz camera kan gewoon door gordijnen heenkijken, en met ultrasound kun je door muren heenkijken. Er bestaan camera's die om hoekjes kunnen kijken. Waarom zou je een stofzuiger hacken, want dit laat sporen achter.
Er zijn verschillende onderzoeken naar om de hoek filmen gedaan. De een heeft nodig dat het onderwerp met een speciale laser wordt bekeken, de ander vergt projectie op een muur met een object voor het onderwerp dat de schaduwen beïnvloedt. Allemaal heel specifieke omstandigheden die je niet voor elkaar gaat krijgen in de huiskamer die je wilt bespioneren. Ik geloof verder niet dat er al kant en klare camera's in de winkels liggen voor dit doel.

Als ik rondzoek naar wat een teraherz-camera (niet met rr, je weet toch wel waar het voorvoegsel tera- voor staat?) zou moeten kosten dan vind ik prijzen als $75000 voor een resolutie van 240x320 pixels. En je moet een plaatje dat de straling produceert achter het door te lichten voorwerp plaatsen. Een plaatje dat groot genoeg is om een woonkamer te bespioneren wordt dan vermoedelijk erg duur en onhandig groot, als geen sporen achter wilt laten, althans.

In ultrageluid heb ik me maar niet meer verdiept. Ik denk dat het antwoord op je vraag is: omdat het praktisch uitvoerbaar en financieel op te brengen is.
29-02-2020, 13:47 door Anoniem
Door Anoniem:
Door Anoniem: Handige fout. Mocht blijken, dat ook de locatie van de stofzuiger kan worden achterhaald, is dit een ideale spytool. Zeker voor inbrekers die eerst het doel willen verkennen.
Waar komt toch dat idee vandaan dat inbrekers tijd en moeite zouden willen steken in het van te voren verkennen
van een doel, of in het controleren of de bewoners thuis zijn. Dat interesseert inbrekers helemaal niet!
Jullie denken dan inbrekers normaal functionerende mensen zijn die kunnen nadenken, risico's afwegen, slimme
oplossingen bedenken, en moderne technologie inzetten. Als dat het geval was, dan waren ze geen inbreker geweest.
Inbrekers 2.0 bestaan wel. Kijk hoe ze tegenwoordig sleutelloze auto's stelen. Maar in essentie heb je wel gelijk denk ik. Te dom om te poepen.
01-03-2020, 22:13 door Anoniem
Door Anoniem:
Door Anoniem: Handige fout. Mocht blijken, dat ook de locatie van de stofzuiger kan worden achterhaald, is dit een ideale spytool. Zeker voor inbrekers die eerst het doel willen verkennen.
Waar komt toch dat idee vandaan dat inbrekers tijd en moeite zouden willen steken in het van te voren verkennen
van een doel, of in het controleren of de bewoners thuis zijn. Dat interesseert inbrekers helemaal niet!
Jullie denken dan inbrekers normaal functionerende mensen zijn die kunnen nadenken, risico's afwegen, slimme
oplossingen bedenken, en moderne technologie inzetten. Als dat het geval was, dan waren ze geen inbreker geweest.

(Security) nerds kunnen zich niet inleven in normale mensen - ze denken alleen "hoe zou IK het doen" . (of : "wat vind IK belangrijk op een computer/applicatie) . Als je alleen van hamers houdt, zie je overal spijkers in.

Maar in z'n algemeenheid zie je in deze branch nogal : security bedrijven die geen betalende opdracht hebben, laten de junior maar oefenen met het pentesten van consumentenzut, en gooien een resultaat zo breed mogelijk de media in met het een of andere bangmaak-scenario ('Inbrekers !'Gluurders ! In de BABYKAMER! ) om het bedrijf maar op zoveel mogelijk conferenties zichtbaar te maken.
Ik kan het deels wel begrijpen - er zijn niet zo veel manieren om een bekwaamheid als security researcher/pentester te bewijzen. En heel veel mensen die zich zo noemen.
En betalende klanten , voor zo ver ze genoemd willen worden willen zeker niet dat hun opdracht in detail uitgelegd wordt.
Maar de overtrokken hype waarmee een scenario aan de man gebracht wordt om een leuk stukje reverse engineering te promoten ergert me wel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.