Apparatuur voor thuisautomatisering slecht beveiligd

Veel van de apparaten bevatten lekken waardoor de besturing makkelijk overgenomen kan worden door hackers. Dat is des te riskanter omdat hiermee veel huisbeveiliging is verbonden. Daarbij gaat het om netwerkapparatuur voor onder meer het aansturen van de sloten, alarmsystemen en verlichting.

Geen wachtwoord nodig

Getest werd onder meer het VeraLite-systeem van het Chinese Mi Casa Verde. De VeraLite is een embedded apparaat in een thuisnetwerk dat tot 70 systemen die erop zijn aangesloten kan besturen. Dat varieert van de lampen, de thermostaat, camera’s, alarmen, deursloten tot de airconditioning. Default vereist de VeraLite geen wachtwoord of gebruikersnaam waardoor het in veel gevallen door iedereen op het lokale netwerk bestuurd kan worden. Ook als wel een inlog vereist is met wachtwoord kan een hacker de controle overnemen door het Universal Plug and Play (PUnP)protocol te gebruiken dat geen authenticatiefuncties ondersteunt. Dit kan zowel vanaf het lokale netwerk als vanaf internet.

Authenticatie kan niet

Ook in de Insteon Hub van het Amerikaanse Insteon werden veel lekken gevonden. De Hub bestuurt en beheert onder meer verlichting, thermostaten en draadloze IP-camera’s. De Hub kan vanaf een smartphone bestuurd worden via een app. De communicatie vanaf de app naar het huisnetwerk verloopt via internet maar vereist geen authenticatie en is zeker niet versleuteld. Hackers kunnen eenvoudig via Google of de SHODAN-zoekmachine of via portscans de Hub-verbinding met internet lokaliseren en vervolgens de controle overnemen. Insteon heeft inmiddels wel een nieuwe versie van de Hub uitgebracht die wel een mogelijkheid tot authenticatie biedt. Updaten van de firmware van de vorige versies is echter niet mogelijk.

De onderzoekers benadrukken dat vergelijkbare lekken in heel veel andere thuisautomatiseringsapparatuur is te vinden.