Er zijn diverse kwetsbaarheden aangetroffen in twee smart home apparaten. Het gaat hierbij om een slim slot en een met het internet verbonden koffiezetapparaat. Door de kwetsbaarheden zijn de apparaten voor kwaadwillenden relatief eenvoudig te manipuleren, aldus beveiligingsspecialist McAfee.
De kwetsbaarheden werden vandaag onthuld door het McAfee Labs’ Advanced Threat Research team. Het gaat om twee ogenschijnlijk onschuldige apparaten, maar de gevolgen van een hack kunnen redelijk groot zijn. Voor beide problemen zijn oplossingen in de maak, dus het is van belang ze te updaten indien je ze zelf hebt.
Slim slot hacken
Allereerst het slimme slot. Het gaat om het BoxLock, dat ooit te zien was in de serie Shark Tank en bedoeld is om – zoals de naam al impliceert – een doos mee af te sluiten. Denk daarbij vooral aan een grote container waar de pakketbezorger een pakketje in kan deponeren. Het slimme slot maakt het mogelijk voor de bezorger om middels een barcode of mobiele app het slot te openen. Daardoor hoeft de bezorger het pakketje niet meer op de veranda achter te laten en ligt het veilig achter slot en grendel.
Althans: zo hoort het te zijn, maar de werkelijkheid ligt iets anders. Uit onderzoek van de beveiligingsspecialist blijkt dat het apparaat behoorlijk kwetsbaar is. Het gebruikt Bluetooth Low Energy, dat niet goed is geïmplementeerd. Hierdoor kunnen kwaadwillenden het slot eenvoudig een commando geven waardoor het ope gaat. De fabrikant van BoxLock werkt inmiddels samen met McAfee aan een oplossing.
Slim koffiezetapparaat
Dan is er nog de Mr. Coffee Smart Coffeemaker met WeMo-integratie. Dit is een platform van fabrikant Belkin voor het koppelen van slimme apparatuur. Vervolgens kan je via de app van WeMo opdrachten geven. Zo zou je dus je koffiezetapparaat vanuit je werk aan kunnen zetten, zodat de koffie klaar is tegen de tijd dat je thuis komt.
Maar het apparaat blijkt verzoeken via WeMo niet goed te valideren. Daardoor zijn kwaadwillenden ertoe in staat het apparaat aan te zetten. Op zich klinkt dat niet heel erg, maar dat betekent ook dat het apparaat kan worden aangezet als er bijvoorbeeld geen water in zit. Als het apparaat dan gaat lopen, kan het stuk gaan of in het ergste geval leiden tot kortsluiting.
Belkin reageerde niet op verzoeken van McAfee, maar heeft wel een update uitgebracht die het probleem op zou moeten lossen.
21 uur geleden
