Info Beveiligingslek geeft toegang tot camera

Abraham54

Admin
Team lid

Beveiligingslek geeft toegang tot camera smart stofzuiger
vrijdag 28 februari 2020, 13:51 door Redactie, 17 reacties

Onderzoekers hebben in een smart stofzuiger van Trifo verschillende kwetsbaarheden ontdekt waardoor een
aanvaller op afstand mee kan kijken met de camera van het apparaat.
De fabrikant werd vorig jaar gewaarschuwd, maar gaf geen reactie. De beveiligingslekken zijn dan ook nog
steeds aanwezig.

De problemen spelen in de Ironpie M6, een smart stofzuiger van Trifo die automatisch kamers stofzuigt en
via een app op afstand is te bedienen. Het apparaat is voorzien van een camera en onderzoekers van securitybedrijf
Checkmarx vroegen zich af hoe goed de stofzuiger is beveiligd.
In totaal troffen de onderzoekers zes verschillende kwetsbaarheden aan.
Het grootste probleem zit in de updateprocedure van de stofzuiger-app.

Die maakt namelijk geen gebruik van de Google Play Store, maar downloadt via http een APK-bestand van de
updateserver. Een aanvaller tussen de gebruiker en het internet kan het verzoek aanpassen en zo een kwaadaardig
APK-bestand aanbieden. Daarnaast maakt de stofzuiger gebruik van het MQTT-protocol.

MQTT staat voor Message Queuing Telemetry Transport en is een protocol dat wordt gebruikt om
smart home-apparaten mee te bedienen en met elkaar te laten verbinden.

In het geval van Trifo vormen de MQTT-servers een brug tussen de stofzuiger, de backend-server en de stofzuiger-app.
De servers ontvangen informatie van de stofzuiger en geven die door aan de gebruikersinterface van de app.

De authenticatie laat echter te wensen over waardoor een aanvaller met de MQTT-server verbinding kan maken en zich
als de stofzuiger kan voordoen. Via MQTT is het ook mogelijk om toegang tot de camera van de stofzuiger te krijgen.

Trifo werd op 16 december over de kwetsbaarheden geïnformeerd, maar de stofzuigerfabrikant gaf geen reactie.
De kwetsbaarheden zijn volgens de onderzoekers nog steeds aanwezig.
Daarom zijn uitgebreide technische details nog niet vrijgegeven.

Image


Bron:
 

Abraham54

Admin
Team lid
@Roxmarie - jij wil niet weten hoeveel smarttv's en dergelijk spul in een wereldwijd botnet zitten waarmee aanvallen worden uitgeoefend!
Het aantal is al een aantal miljoenen en loopt nog op.
 

Roxmarie

Heeft veel posts
Bekend gezicht
Precies, ze zijn dus niet Smart, en je kunt er niet onderuit. Want het zit er gewoon in.
 

Abraham54

Admin
Team lid
Hier is echter wel vanuit het eerste begin voor gewaarschuwd.
Die Iot dingen worden bestuurd door eeen heel kaal en simpel Linux-systeempje dat geen enkele beveiliging heeft.
 

gouwepeer

Heeft veel posts
Team lid
Die smartapparaten gaan steeds meer gemeengoed worden, waarbij ook meer kwetsbaarheden aan het licht zullen komen. De camera in mijn laptop is netjes afgeplakt, slimme speakers heb ik niet en op mijn smartphone houdt Malwarebytes een oogje in het zeil.
 
Bovenaan Onderaan