Losgeld-eisende koffiemachine schetst komende IoT-chaos

Een producent regelt veel eigenschappen en beveiliging in de firmware van apparatuur. Die zorgt er voor dat de garagedeur niet dicht kan als er iemand in de opening staat en voorkomt dat een koffiemachine oververhit raakt.

Tot nog toe was het lastig om bij de firmware te komen en er instellingen aan te veranderen zonder het betreffende apparaat flink te slopen. Maar dat verandert op het moment dat die apparatuur een verbinding krijgt met internet. Om de kwetsbaarheid aan te tonen hackte Hron een 'Smarter' koffiemachine en bekeek wat hij er allemaal mee kon doen. Zijn ervaringen schreef hij gedetailleerd op in een blog.

Gebruiksgemak en nalatigheid

Het grote probleem is dat producenten van 'slimme' apparaten zoals huishoudapparatuur willen dat het gebruik zo simpel mogelijk is en gebruiksgemak gaat vaak niet samen met beveiliging. Ook in dit geval maakte de koffiemachine gelijk na de eerste keer aanzetten een eigen wifi-netwerkje waarmee de gebruiker via een app een aantal instellingen kan aanpassen. Het protocol dat de fabrikant daarvoor heeft ingebakken bevat vrijwel geen bescherming in de vorm van versleuteling, autorisatie of authenticatie.

Laat de gebruiker de default instellingen voor wat ze zijn, dan kan iedereen in de buurt het apparaat benaderen. Maar ook al wordt het apparaat opgenomen in het wifi-netwerk van de gebruiker, dan blijken de instellingen ook vanaf het internet vrij gemakkelijk te wijzigen. Uiteindelijk slaagde Hron er in de complete firmware te vervangen.

Hron laat in zijn blog zien waar veel kwetsbare Smarter-koffiemachines via het internet te vinden zijn. Europa blijkt een hotspot.