Sonos Play:1-speakers kunnen via wifi en ethernet op internet worden aangesloten. Fabrikant Sonos heeft een beveiligingsupdate uitgebracht voor een informatielek in de Play:1-speakers waardoor het voor kwaadwillenden mogelijk was om informatie over gebruikers te achterhalen, zoals muziekvoorkeur, e-mailadres en of de gebruiker thuis is of niet.

Dat laat anti-virusbedrijf Trend Micro weten (pdf). De onderzoekers hebben een Nmap-scan op het netwerk uitgevoerd om te zien welke poorten op de Sonos open stonden. In totaal werden drie UPnP-poorten aangetroffen, alsmede een statuspagina met allerlei informatie over het systeem. Deze pagina bevatte informatie over gebruikers, zoals het e-mailadres dat voor streamingdiensten was ingesteld.

Via de SOAP XML-interface, die wordt gebruikt om informatie tussen de client en het systeem uit te wisselen, was bijvoorbeeld een luisterpatroon te achterhalen waarmee kon worden bepaald of de gebruiker thuis is. Ook de muziekvoorkeuren van gebruikers waren te achterhalen. Aanvallers zouden die informatie voor gerichte aanvallen kunnen gebruiken, aldus Trend Micro.

De virusbestrijder ontdekte zo'n 5.000 Sonos-speakers die via internet toegankelijk waren en risico liepen dat er informatie over gebruikers werden achterhaald. De SoundTouch-speakers van Bose zouden ook verschillende van dezelfde kwetsbaarheden bevatten die bij Sonos werden aangetroffen. Bose werd ook ingelicht, maar heeft nog geen reactie gegeven of update uitgebracht.

Alles bij de bron; Security