Nieuws

"Smart" voerautomaat voor huisdieren kwetsbaar door hardcoded wachtwoord

dinsdag 20 juni 2023, 13:47 door Redactie, 14 reacties

Laatst bijgewerkt: 20-06-2023, 14:10

Een "smart" voerautomaat voor huisdieren is door het gebruik van een hardcoded wachtwoord, onveilig updateproces en onveilige communicatie met spraakassistent Alexa kwetsbaar voor aanvallers. Die kunnen het apparaat overnemen en saboteren. De fabrikant werd vorig jaar oktober al over de problemen ingelicht, maar heeft nog altijd geen oplossing uitgebracht, zo meldt antivirusbedrijf Kaspersky dat de kwetsbaarheden ontdekte.

De problemen doen zich voor in een voerautomaat van het merk Dogness. Eigenaren kunnen het apparaat via een app bedienen. Die communiceert hiervoor met een cloudserver. Onderzoekers van Kaspersky onderzochten de machine en ontdekten dat daarop een Telnet-server draaide. Het root-wachtwoord bleek hardcoded in de firmware te staan en is voor alle modellen hetzelfde. Via het root-wachtwoord kan volledige toegang tot het apparaat worden verkregen.

Verder blijkt de voerautomaat onversleuteld met de cloudserver te communiceren en updates via http te downloaden. De authenticiteit van de firmware wordt niet gecontroleerd, waardoor het via een man-in-the-middle mogelijk is om een malafide update te installeren. De voerautomaat is ook via stemassistent Alexa te bedienen. Hiervoor wordt gebruikgemaakt van een Message Queuing Telemetry Transport (MQTT) broker. De gebruikersnaam en wachtwoord voor deze broker zijn echter hardcoded in de software en voor alle voerautomaten hetzelfde. Kaspersky probeerde de leverancier naar eigen zeggen herhaaldelijk over de problemen te informeren, maar zonder succes.

Vpn-provider Mullvad onthult eigen op Google gebaseerde zoekmachine Leta

Aanvaller kan via "verlaten winkelwagentje" bij duizenden webshops inloggen

Reacties (14)

20-06-2023, 14:01 door Anoniem

Dit word al in het wild gebruikt om de honden extra veel voer te geven.
Daardoor moet er extra voer gekocht worden, wat ze veel oplevert... :-)

20-06-2023, 14:17 door Anoniem

In maart 2020 kwam na een datalek de vraag al: 'why are developers still using http????'
Daar zit geen verbetering is :(

https://blog.burke-consulting.net/data-breach-dogness-iot-get-put-in-the-doghouse/

20-06-2023, 14:18 door Anoniem

Als je zelf te lui bent om zelf je hond of kat ze bakje te vullen met wat voer, waarom neem je dan een huisdier.

20-06-2023, 14:30 door Anoniem

Door Anoniem: Dit word al in het wild gebruikt om de honden extra veel voer te geven.
Daardoor moet er extra voer gekocht worden, wat ze veel oplevert... :-)

Fuck smart,maar denk zelf,en maak zelf beslissingen beste mensen.

makkelijker kunnen we het niet maken,wel veiliger.

Wereld 2023

20-06-2023, 14:54 door Anoniem

Trojan horse met datahonger.

20-06-2023, 16:01 door Sofie753 - Bijgewerkt: 20-06-2023, 16:01

In mijn optiek zou dergelijk gedrag tot strafrechtelijke vervolging moeten leiden. Dat er een kwetsbaarheid in apparaten of software zit is niet te voorkomen. Maar met zo'n opeenstapeling van fouten stel je willens en wetens je gebruikers bloot aan ernstige risico's (en het internet in het algemeen omdat dit soort apparaten kunnen worden gebruikt voor ddos- en dergelijke aanvallen).

Echt schandalig!

20-06-2023, 16:28 door Anoniem

Door Anoniem: In maart 2020 kwam na een datalek de vraag al: 'why are developers still using http????'
Daar zit geen verbetering is :(

Op zich is het downloaden van updates via http geen probleem, als er dan maar wel een controle op de gedownloade
data zit. Windows en Linux (i.i.g. Debian) updates lopen ook over http.
Voordeel is dat je dan nog een (transparante) caching proxy kunt gebruiken.

20-06-2023, 20:03 door Anoniem

Droef dat een club als Kaspersky zich tot zoiets moet verlagen. Maar ja, wat doe je als je in NL niet meer zo aan de bak komt.

Waarschijnlijk de voerbak van Fluffy van een medewerker, die dacht, "He! IOT!" en dus is wat verder is gaan kijken.

21-06-2023, 08:44 door Anoniem

Waarom wordt het enige zinnige stukje van het gehele onderzoek *waarom* dit een probleem is niet hier toegelicht in het nieuws bericht. Het klinkt nu alsof het gaat om enkel fido zijn brokjes rantsoen aan te passen.

"This issue could significantly impact confidentiality, as the device works as a continuous recording camera that is likely to be used indoors, with a strong possibility of capturing a private home environment that may contain sensitive information."
Daar gaat het om niet om dat het een smart feeder is maar omdat het privacy risicos geeft.

Inbreker kijkt via SHODAN of andere tool naar kwestbare apparaten in rijke buurt. Logt in op fido zijn etensbak ziet wanneer er wel en niet activiteit in het huis is en planned inbraak er om heen.

Stalker logt in op voeding bak legt data vast blackmailed slachtoffer met mogelijk privacy gevoelige opnames of beelden.

21-06-2023, 09:09 door _R0N_

Door Anoniem:

Door Anoniem: In maart 2020 kwam na een datalek de vraag al: 'why are developers still using http????'
Daar zit geen verbetering is :(

Windows gaat al enkele jaren over https en inderdaad (net gecontroleerd) ubuntu gaat over http, best wel vreemd aangezien dat een aanpassing van niets is.

21-06-2023, 09:10 door _R0N_

Door Anoniem: Dit word al in het wild gebruikt om de honden extra veel voer te geven.
Daardoor moet er extra voer gekocht worden, wat ze veel oplevert... :-)

vervelender is wanneer je huisdier gen voer meer krijgt.

21-06-2023, 11:45 door Anoniem

Door Anoniem:

Door Anoniem: In maart 2020 kwam na een datalek de vraag al: 'why are developers still using http????'
Daar zit geen verbetering is :(

Tja, als je je geen zorgen maakt over een Attacker In The Middle aanval kun je prima http gebruiken. Ik raad het je wel af.
Een checksum controle is bovenop https een goede maatregel, maar wel een aanvullende en niet in plaats van.

21-06-2023, 22:53 door Anoniem

Niet te lui, maar het is wel gemak en voor de kat of hond wel zo handig: op vaste tijden voedsel :-)

Jij hebt toch ook een (vaat)wasmachine of neemt ook wel eens kant-en-klaar voedsel? Gemak dient de mensch...

22-06-2023, 14:43 door Anoniem

Door Anoniem: Trojan horse met datahonger.

Trojan Dog

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer