45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

5 Lekkages in 'slim' alarm geven aanvaller controle over apparaat en klantdata

Verschillende kwetsbaarheden in het, ook in NL verkrijgbare, slimme alarmsysteem iSmartAlarm kunnen een aanvaller op afstand volledige controle over het apparaat en de gegevens van alle gebruikers geven, waaronder hun adresgegevens. Daarvoor waarschuwt onderzoeker Ilia Shnaidman van BullGuard. ISmartAlarm is een met internet verbonden alarmsysteem dat via een app is te bedienen. 

In totaal vond de onderzoekers vijf beveiligingslekken in het alarmsysteem en de achterliggende infrastructuur. Zo controleert het alarmsysteem niet de geldigheid van aangeboden ssl-certificaten en is het mogelijk om een denial of service-aanval op het apparaat uit te voeren zodat het apparaat niet meer werkt. Ook kan een aanvaller het apparaat uitschakelen, inschakelen of het "panic alarm" laten afgaan. Verder blijkt de achterliggende infrastructuur van iSmartAlarm toegankelijk. Zodoende kunnen van alle gebruikers de gegevens worden achterhaald, waaronder hun adresgegevens. 

Hij waarschuwde de fabrikant op 30 januari van dit jaar en omdat er een half jaar later nog geen updates beschikbaar zijn heeft Shnaidman de details vrijgegeven.

Alles bij de bron; Security