image

"Smart" voerautomaat voor huisdieren kwetsbaar door hardcoded wachtwoord

dinsdag 20 juni 2023, 13:47 door Redactie, 14 reacties
Laatst bijgewerkt: 20-06-2023, 14:10

Een "smart" voerautomaat voor huisdieren is door het gebruik van een hardcoded wachtwoord, onveilig updateproces en onveilige communicatie met spraakassistent Alexa kwetsbaar voor aanvallers. Die kunnen het apparaat overnemen en saboteren. De fabrikant werd vorig jaar oktober al over de problemen ingelicht, maar heeft nog altijd geen oplossing uitgebracht, zo meldt antivirusbedrijf Kaspersky dat de kwetsbaarheden ontdekte.

De problemen doen zich voor in een voerautomaat van het merk Dogness. Eigenaren kunnen het apparaat via een app bedienen. Die communiceert hiervoor met een cloudserver. Onderzoekers van Kaspersky onderzochten de machine en ontdekten dat daarop een Telnet-server draaide. Het root-wachtwoord bleek hardcoded in de firmware te staan en is voor alle modellen hetzelfde. Via het root-wachtwoord kan volledige toegang tot het apparaat worden verkregen.

Verder blijkt de voerautomaat onversleuteld met de cloudserver te communiceren en updates via http te downloaden. De authenticiteit van de firmware wordt niet gecontroleerd, waardoor het via een man-in-the-middle mogelijk is om een malafide update te installeren. De voerautomaat is ook via stemassistent Alexa te bedienen. Hiervoor wordt gebruikgemaakt van een Message Queuing Telemetry Transport (MQTT) broker. De gebruikersnaam en wachtwoord voor deze broker zijn echter hardcoded in de software en voor alle voerautomaten hetzelfde. Kaspersky probeerde de leverancier naar eigen zeggen herhaaldelijk over de problemen te informeren, maar zonder succes.

Reacties (14)
20-06-2023, 14:01 door Anoniem
Dit word al in het wild gebruikt om de honden extra veel voer te geven.
Daardoor moet er extra voer gekocht worden, wat ze veel oplevert... :-)
20-06-2023, 14:17 door Anoniem
In maart 2020 kwam na een datalek de vraag al: 'why are developers still using http????'
Daar zit geen verbetering is :(

https://blog.burke-consulting.net/data-breach-dogness-iot-get-put-in-the-doghouse/
20-06-2023, 14:18 door Anoniem
Als je zelf te lui bent om zelf je hond of kat ze bakje te vullen met wat voer, waarom neem je dan een huisdier.
20-06-2023, 14:30 door Anoniem
Door Anoniem: Dit word al in het wild gebruikt om de honden extra veel voer te geven.
Daardoor moet er extra voer gekocht worden, wat ze veel oplevert... :-)

Fuck smart,maar denk zelf,en maak zelf beslissingen beste mensen.

makkelijker kunnen we het niet maken,wel veiliger.

Wereld 2023
20-06-2023, 14:54 door Anoniem
Trojan horse met datahonger.
20-06-2023, 16:01 door Sofie753 - Bijgewerkt: 20-06-2023, 16:01
In mijn optiek zou dergelijk gedrag tot strafrechtelijke vervolging moeten leiden. Dat er een kwetsbaarheid in apparaten of software zit is niet te voorkomen. Maar met zo'n opeenstapeling van fouten stel je willens en wetens je gebruikers bloot aan ernstige risico's (en het internet in het algemeen omdat dit soort apparaten kunnen worden gebruikt voor ddos- en dergelijke aanvallen).

Echt schandalig!
20-06-2023, 16:28 door Anoniem
Door Anoniem: In maart 2020 kwam na een datalek de vraag al: 'why are developers still using http????'
Daar zit geen verbetering is :(
Op zich is het downloaden van updates via http geen probleem, als er dan maar wel een controle op de gedownloade
data zit. Windows en Linux (i.i.g. Debian) updates lopen ook over http.
Voordeel is dat je dan nog een (transparante) caching proxy kunt gebruiken.
20-06-2023, 20:03 door Anoniem
Droef dat een club als Kaspersky zich tot zoiets moet verlagen. Maar ja, wat doe je als je in NL niet meer zo aan de bak komt.

Waarschijnlijk de voerbak van Fluffy van een medewerker, die dacht, "He! IOT!" en dus is wat verder is gaan kijken.
21-06-2023, 08:44 door Anoniem
Waarom wordt het enige zinnige stukje van het gehele onderzoek *waarom* dit een probleem is niet hier toegelicht in het nieuws bericht. Het klinkt nu alsof het gaat om enkel fido zijn brokjes rantsoen aan te passen.

"This issue could significantly impact confidentiality, as the device works as a continuous recording camera that is likely to be used indoors, with a strong possibility of capturing a private home environment that may contain sensitive information."
Daar gaat het om niet om dat het een smart feeder is maar omdat het privacy risicos geeft.

Inbreker kijkt via SHODAN of andere tool naar kwestbare apparaten in rijke buurt. Logt in op fido zijn etensbak ziet wanneer er wel en niet activiteit in het huis is en planned inbraak er om heen.

Stalker logt in op voeding bak legt data vast blackmailed slachtoffer met mogelijk privacy gevoelige opnames of beelden.
21-06-2023, 09:09 door _R0N_
Door Anoniem:
Door Anoniem: In maart 2020 kwam na een datalek de vraag al: 'why are developers still using http????'
Daar zit geen verbetering is :(
Op zich is het downloaden van updates via http geen probleem, als er dan maar wel een controle op de gedownloade
data zit. Windows en Linux (i.i.g. Debian) updates lopen ook over http.
Voordeel is dat je dan nog een (transparante) caching proxy kunt gebruiken.

Windows gaat al enkele jaren over https en inderdaad (net gecontroleerd) ubuntu gaat over http, best wel vreemd aangezien dat een aanpassing van niets is.
21-06-2023, 09:10 door _R0N_
Door Anoniem: Dit word al in het wild gebruikt om de honden extra veel voer te geven.
Daardoor moet er extra voer gekocht worden, wat ze veel oplevert... :-)

vervelender is wanneer je huisdier gen voer meer krijgt.
21-06-2023, 11:45 door Anoniem
Door Anoniem:
Door Anoniem: In maart 2020 kwam na een datalek de vraag al: 'why are developers still using http????'
Daar zit geen verbetering is :(
Op zich is het downloaden van updates via http geen probleem, als er dan maar wel een controle op de gedownloade
data zit. Windows en Linux (i.i.g. Debian) updates lopen ook over http.
Voordeel is dat je dan nog een (transparante) caching proxy kunt gebruiken.

Tja, als je je geen zorgen maakt over een Attacker In The Middle aanval kun je prima http gebruiken. Ik raad het je wel af.
Een checksum controle is bovenop https een goede maatregel, maar wel een aanvullende en niet in plaats van.
21-06-2023, 22:53 door Anoniem
Niet te lui, maar het is wel gemak en voor de kat of hond wel zo handig: op vaste tijden voedsel :-)

Jij hebt toch ook een (vaat)wasmachine of neemt ook wel eens kant-en-klaar voedsel? Gemak dient de mensch...
22-06-2023, 14:43 door Anoniem
Door Anoniem: Trojan horse met datahonger.

Trojan Dog
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.