Slimme deurbel lekt wifi-wachtwoord
De Ring Video Doorbell is een slimme deurbel die je automatisch op de hoogte stelt als er iemand voor de deur staat. Het apparaat wordt hiervoor verbonden met het wifi-netwerk. De slimme deurbel blijkt echter een kwetsbaarheid te bevatten waarmee aanvallers het wachtwoord van dit wifi-netwerk kunnen achterhalen.
Dit melden beveiligingsonderzoekers van Pen Test Partners. De slimme deurbel van Ring is voorzien van een ingebouwde camera en microfoon. Gebruikers kunnen hierdoor via een app zien wie er voor hun deur staat, zonder hiervoor te hoeven opstaan. Ook kunnen zij via de ingebouwde microfoon in gesprek met de bezoeker. Het apparaat wordt aangesloten op het wifi-netwerk van gebruikers om gegevens door te sturen.
Eenvoudige configuratie
Ring Video Doorbell kan eenvoudig worden geïnstalleerd. Gebruikers schroeven het apparaat op de gewenste plek vast, waarna zij op de oranje knop aan de achterzijde van het apparaat klikken. Het apparaat is hierdoor via een speciale URL bereikbaar om deze te configureren en met het wifi-netwerk te verbinden. Het apparaat kan vervolgens worden aangestuurd via de mobiele app van Ring.
Pen Test Partners meldt dat het probleem zit in de oranje knop aan de achterzijde van het apparaat. Deze knop blijkt door aanvallers te kunnen worden misbruikt om allerlei informatie te achterhalen over het wifi-netwerk waarmee het apparaat is verbonden. De knop zit aan de achterzijde van de Ring Video Doorbell en is dan ook niet zichtbaar op het moment dat het apparaat is opgehangen. Doordat de slimme deurbel echter met slechts enkele schroeven wordt bevestigd is het voor aanvallers een koud kunstje deze van de muur te halen om de configuratieknop toegankelijk te maken.
Access point mode
Door op de oranje knop te klikken wordt de Ring Video Doorbell in access point (AP) mode gezet. Dit geeft gebruikers de mogelijkheid via een speciale URL toegang te krijgen tot het apparaat om deze te configureren. Ook aanvallers kunnen echter via deze URL toegang krijgen tot het apparaat, waarna zij deze kunnen doorzoeken op het wifi-wachtwoord. Dit wachtwoord blijkt namelijk in een onversleuteld bestand te worden opgeslagen.
Pen Test Partners is erg lovend over de reactie van Ring en stelt dat het bedrijf binnen enkele minuten op de bugmelding heeft gereageerd. Het bedrijf heeft inmiddels een patch uitgebracht waarin het probleem wordt verholpen. Gebruikers worden dan ook geadviseerd het apparaat zo snel mogelijk te updaten. Ring stelt dat het lek voor zover bekend niet is misbruikt.
Meer over
Lees ook
Kwetsbaarheid in WPA2 maken wifi-netwerken kwetsbaar
Nieuw ontdekte beveiligingslekken in Wi-Fi Protected Access II (WPA2) maken het mogelijk WPA2-verbindingen te kraken en toegang te krijgen tot wifi-netwerken van slachtoffers. Een dergelijke aanval maakt het mogelijk gevoelige informatie die gebruikers via hun wifi-verbinding versturen te onderscheppen, maar ook om data te injecteren en manipulere1
Ernstig beveiligingslek in iOS en macOS gedicht
Apple heeft een ernstig beveiligingslek in iOS en macOS gedicht. Het gaat om Broadpwn, een lek dat aanvallers in staat stelt willekeurige code uit te voeren op systemen via de ingebouwde WiFi-module van iOS-apparaten en Mac’s. Het lek is ontdekt door Nitay Artenstein, een beveiligingsonderzoeker van Exodus Intelligence. Artenstein stelt dat het l1
Mobiel werken leidt tot grote securityrisico’s voor managers
C-level managers, waaronder CEO’s, lopen tijdens mobiel werken een groot risico te worden gehackt. Cafés en koffiehuizen zijn het meest risicovol, volgens 42% van de respondenten, gevolgd door luchthavens (30%), hotels (16%), conferentiecentra (7%) en vliegtuigen (4%). Dit blijkt uit het iPass Mobile Security Report 2017 van iPass. Dit rapport is1