Huis

Onderzoek wijst op beveiligingsproblemen in het slimme huis

  wink-relay-product-photos-1.jpg Afbeelding vergroten

Een onderzoek van beveiligingsonderzoeksbureau Veracode onderstreept deze week een veelgehoorde angst voor smart-home-apparaten. Als je je thermostaat, je garagedeur of je voordeurslot met internet verbindt, kun je ook kwetsbaarheden in de netwerkbeveiliging van die apparaten introduceren, die een technisch onderlegde crimineel dan mogelijk kan misbruiken. Het is een belangrijk onderwerp, maar het rapport verdient het om goed te bekijken voordat je je Nest weggooit.

Veracode beoordeelt in haar rapport zes producten van vier verschillende fabrikanten: Chamberlain's MyQ Garage en MyQ-gateway, SmartThings domotica hub, Ubi's stemherkenningsbox en Wink's Hub en Relais Controlepaneel. Veracode zegt dat het alleen die zes smart-home-apparaten heeft beoordeeld, dus afwezig zijn populaire producten zoals de Nest Learning Thermostat , de Augustus Smart Lock , Philips Hue slimme led-lampen of iets van: De WeMo-lijn van Belkin . Ik zou niet verwachten dat ze alles zouden beoordelen (wij ook niet), maar houd er rekening mee dat er veel smarthome-producten zijn.

  veracode1.jpg Afbeelding vergroten

Veracode's onderzoek is opgedeeld in vier categorieën en toont zijn bevindingen op een methodische, goed georganiseerde manier. Er wordt gekeken naar mogelijke kwetsbaarheden in de communicatie tussen elk product en de smartphone-app die is ontworpen om het te besturen, de communicatie tussen het apparaat en de bijbehorende cloudservices, eventuele interfaces op het apparaat zelf, evenals de aanwezigheid van eventuele foutopsporingsinterfaces die mogelijk ongewenste toegang tot opdrachten op technisch niveau. Een redelijk technisch onderlegde lezer zou het meeste ervan moeten kunnen begrijpen, zelfs zonder veel bekendheid met netwerkbeveiligingsjargon.

Van de vier leveranciers komt Ubi er het minst beschermd uit. Naast andere problemen gebruikt Ubi niet voldoende codering bij de overdracht tussen het apparaat en de back-end cloudservice, vereist het niet dat gebruikers sterk genoeg wachtwoorden maken en beperkt het de toegang tot de foutopsporingsinterface (van waaruit een aanvaller kan opdrachten op het apparaat uitvoeren).



Ubi's CEO Leor Grebler danste toen ik hem om zijn antwoord vroeg. 'Het rapport is een vergelijking tussen appels en peren. De Ubi is geen 'gebruikelijk apparaat voor thuis' - we waren een door Kickstarter ondersteund product en het is vleiend om het naast Wink en MyQ te plaatsen.' Als het rapport ging over marketinguitgaven en verzonden eenheden, zou hij misschien een punt hebben, maar de Ubi is te koop aan consumenten, en dat is het enige dat telt. Grebler vermeldt in een forumbericht dat het versterken van wachtwoordbeveiliging 'op onze routekaart' staat, maar de algemene toon van zijn reactie is meer defensief dan geruststellend.

  veracode-2.jpg Afbeelding vergroten

Wink ziet er minder slecht uit in het rapport. Via een woordvoerder zei Brian Knopf, het nieuwe hoofd van Wink-beveiliging: 'We hebben het ADB-foutopsporingsprobleem in Wink Relay gepatcht voordat Veracode ons op de hoogte bracht van de kwetsbaarheid.' Andere problemen (zwakke wachtwoorden, kans op man-in-the-middle-aanvallen ) zijn 'in het proces van verbetering voor zowel de Hub als Wink Relay', zei Knopf.

Chamberlain was ook het slachtoffer van een slechte timing tussen de tests van Veracode, zijn eigen patchschema en de publicatie van zijn rapport door Veracode. Bedrijfswoordvoerder Cory Sorice zegt dat het elk probleem heeft aangepakt, behalve het eisen van sterke wachtwoorden van zijn gebruikers. 'We bekijken dit later in het jaar samen met andere verbeteringen aan onze beveiliging en architectuur.'.

De beoordeling van SmartThings was de minst vernietigende. De enige lokale kwetsbaarheid is de aanwezigheid van de foutopsporingsinterface, maar de toegang ertoe is beveiligd met een wachtwoord. SmartThings zou geen commentaar geven op het rapport, maar er is ook niet veel om op te reageren voor hen.

Afbeelding vergroten

Afgezien van de kwetsbaarheden met betrekking tot elk apparaat en de bijbehorende services, heeft Veracode ook gekeken naar wat er zou gebeuren als iemand toegang zou krijgen tot uw gebruikersaccountinformatie of op de een of andere manier inbreuk zou maken op de back-end cloudservice.

Het is niet verwonderlijk dat als iemand uw accountgegevens krijgt, ze toegang hebben tot uw account en kunnen communiceren met uw apparaten. Twee-factor-authenticatie zou hier meer beveiliging toevoegen, en geen van de hier beoordeelde bedrijven biedt dit. Dit is een vergissing.

Een volledige inbreuk op het cloudsysteem betekent natuurlijk ook een volledig systeemcompromis.

De grotere vraag bij dit alles is of deze beveiligingsproblemen van belang zijn voor consumenten. Creditcardinbreuken bij Doe-het-zelf-zaak , Doelwit , TJ Maxx en anderen hebben ons er niet van weerhouden om in die winkels te winkelen. De mogelijke gevolgen van een kredietbeoordeling zijn waarschijnlijk niet zo ernstig als iemand die toegang krijgt tot uw voordeurslot, maar onze geschiedenis is dat we onze wachtwoorden wijzigen of een nieuwe kaart krijgen en verder gaan.

Ik vroeg Veracode naar de beweringen van verschillende fabrikanten dat ze patches hebben uitgegeven om enkele van de problemen in het rapport aan te pakken, en ze zeiden in wezen dat ze nog geen kans hebben gehad om die updates te testen. Je moet altijd vragen naar de beweegredenen van veiligheidsonderzoek (zoals je doet met journalistiek), maar het rapport van Veracode lijkt me niet groots. Ze gingen gewoon met de informatie die ze konden verifiëren op het moment van hun publicatiedatum. We hebben vaak te maken met dezelfde situatie in productrecensies en we proberen zo snel mogelijk bij te werken. Ik hoop dat Veracode hetzelfde doet. Ik hoop ook dat Veracode op deze manier naar smart-home-producten blijft kijken, en dat ze degenen noemen die het goed doen.