Cybercriminelen kunnen nu ook in je stofzuiger inbreken!

Maak jij ook gebruik van een slimme stofzuiger?

Uit onderzoek is gebleken dat een smart stofzuiger van Trifo verschillende kwetsbaarheden heeft waardoor een cybercrimineel op afstand het beeld van de camera kan bekijken.

De stofzuiger is met een app, op afstand te bedienen en is voorzien van een camera. Onderzoekers van CHECKMARX vroegen zich af hoe goed de stofzuiger is beveiligd. Hierbij ontdekten zij zes verschillende kwetsbaarheden. De updateprocedure van de app blijkt het grootste probleem te zijn.

De app maakt geen gebruik van de Google Play Store, via een http download de app een APK-bestand van de updateserver. Een cybercrimineel kan hier makkelijk tussen komen en een kwaadaardige APK-bestand hier tussen plaatsen.

De stofzuiger maakt ook gebruik van MQTT-protocol, hiermee staan de stofzuiger, de backend-server en de stofzuiger-app in verbinding met elkaar. De authenticatie is helaas niet goed beveiligd en daardoor kan een cybercrimineel met de MQTT-server verbinden en zich als stofzuiger voordoen. Hierdoor is het mogelijk om toegang tot de camera van de stofzuiger te krijgen.

Trifo werd op 16 december over de kwetsbaarheden geïnformeerd, maar de stofzuigerfabrikant gaf geen reactie. De kwetsbaarheden zijn volgens de onderzoekers nog steeds aanwezig. Daarom zijn uitgebreide technische details nog niet vrijgegeven.

Bron: security.nl