Onderzoeker gebruikt slimme waterkoker om WiFi-wachtwoorden te stelen

  1. 19 okt 2015
  2. 0 reacties

ikettle

Een beveiligingsonderzoeker is erin geslaagd de zwakke beveiliging van een slimme waterkoker uit te buiten om wachtwoorden van WiFi-netwerken in handen te krijgen. Het experiment toont aan welke impact Internet of Things apparatuur kan hebben op de digitale veiligheid van gebruikers.

Het experiment is uitgevoerd door Ken Munro van Pen Test Partners. Munro heeft zijn pijlen gericht op de iKettle, een slimme waterkoker die is verbonden met het netwerk zodat gebruikers deze via een mobiele app vanaf de bank kunnen aanzetten. De beveiliging van de waterkoker laat te wensen over.

Relatief eenvoudige aanval

De aanval is relatief eenvoudig op te zetten. Aanvallers achterhalen allereerst het SSID van het WiFi-netwerk waarmee de iKettle is verbonden. De aanvallers maken vervolgens een eigen WiFi-netwerk aan met exact hetzelfde SSID en zorgen dat zij een sterker signaal uitsturen dan het legitieme WiFi-netwerk.

Vervolgens sturen zij een pakketje naar de ketel met behulp van een richtantenne die ervoor zorgt dat de verbinding tussen de iKettle en het WiFi-netwerk verloren gaat. De iKettle probeert in dit geval automatisch opnieuw verbinding te leggen met het netwerk. Doordat de aanvaller hetzelfde SSID gebruikt als het legitieme netwerk en daarnaast een sterker signaal uitstuurt kiest de iKettle hierbij voor het malafide WiFi-netwerk van de aanvaller. De iKettle stuurt vervolgens het WiFi-wachtwoord van het aangevallen netwerk in platte tekst naar de aanvaller, die hierdoor het wachtwoord in handen krijgt zonder dat de gebruiker iets merkt.

iKettles vinden

Het onderzoek maakt pijnlijk duidelijk hoe slecht het is gesteld met de beveiliging van sommige Internet of Things apparaten. In een eerdere blogpost beschrijft Munro hoe het mogelijk is via Twitter gebruikers met een iKettle te identificeren. Door simpelweg de overige tweets van deze gebruikers te doorzoeken en gebruik te maken van een websites als 192.com is het vaak mogelijk te achterhalen waar zij wonen.

Meer over
Lees ook
Best practices helpen privé-apparaten veilig op de werkvloer te gebruiken

Best practices helpen privé-apparaten veilig op de werkvloer te gebruiken

Microsoft lanceert een reeks best practices voor werknemers die hun privé-apparaten op de werkvloer willen gebruiken. Het bedrijf adviseert onder andere alleen legitieme apps en software te gebruiken die afkomstig is van betrouwbare bronnen. Het meenemen van privé-apparaten naar de werkvloer, wat ook wel Bring Your Own Device (BYOD) wordt genoemd1

Aerohive verscheept 500.000ste controlerloze wifi access point

Aerohive verscheept 500.000ste controlerloze wifi access point

De leverancier van op cloud gebaseerde mobiele netwerkoplossingen Aerohive Networks heeft de  500.000ste access point  uitgeleverd. In totaal zijn er in het afgelopen jaar 4000 nieuwe gebruikers in de zorgsector, bij winkelbedrijven en in het onderwijs bijgekomen. In 2006 ontwikkelde Aerohive een draadloze LAN architectuur zonder centrale contro1

HP levert McAfee LiveSafe standaard op nieuwe HP-computers

HP levert McAfee LiveSafe standaard op nieuwe HP-computers

HP gaat McAfee LiveSafe service standaard wereldwijd als ‘pre-install’ meeleveren met nieuwe consumentenpc’s en zakelijke pc’s. McAfee LiveSafe is een ‘cross-device’ beveiligingsdienst die de data, identiteitsgegevens en alle pc’s, Macs, smartphones en tablets van gebruikers beschermt. “We staan aan de vooravond van een nieuw computertijdperk, wa1