Belkin WeMo bevat meerdere beveiligingslekken (update)

Beveiligingsonderzoekers raden af om Belkin WeMo nog langer te gebruiken. Er zitten meerdere beveiligingslekken in. Update: Belkin zegt het probleem te hebben opgelost.

Gonny van der Zwaag | iCulture.nl - 19 februari 2014, 9:30
· Laatst bijgewerkt: 12:21

Beveiligingsonderzoekers raden af om nog langer de Belkin WeMo-producten te gebruiken, nadat er ernstige beveiligingslekken zijn ontdekt. Ook het Amerikaanse coördinatiecentrum voor internetbeveiliging CERT meldt dat er meerdere kwetsbaarheden in het systeem zitten. Aanvallers kunnen de bediening van thermostaten, verlichting, draadloze netwerken en allerlei aangesloten apparaten zoals webcams overnemen. Ook zijn wachtwoorden makkelijk te achterhalen, omdat SSL-certificaten niet gecontroleerd worden wanneer contact wordt gelegd met de Belkin-server.

Update: Belkin heeft na de publicatie van CERT een verklaring online gezet, waarin ze aangeven de beveilingslekken te hebben gedicht.

Met WeMo kun je op afstand vanaf een smartphone of computer allerlei apparaten bedienen. Maar om te controleren of firmware-updates geldig zijn, worden cryptografische sleutels gebruikt die makkelijk te achterhalen zijn. Na het onderscheppen van de informatie kan een aanvaller makkelijk kwaadaardige firmware installeren en toegang krijgen tot het systeem. Smartphones ontvangen meldingen over firmware-updates via een niet-beveiligd kanaal. Beveiligingsonderzoekers van IOActive slaagden erin om een aanval uit te voeren door de RSS-feed te imiteren die Belkin normaal gesproken gebruikt om firmware-updates naar WeMo-producten te sturen. Het systeem denkt dat er nieuwe firmware is, geeft toestemming om het installeren en raakt vervolgens besmet. De firmware-updates zijn versleuteld met GPG, maar dit is niet goed geïmplementeerd.

Lees ook: review Belkin WeMo Switch, slim apparaten bedienen vanuit app.

Meeluisteren met babyfoon

Er zitten nog meer zwakheden in het systeem, waardoor je bijvoorbeeld lampen kunt laten aan- en uitgaan. Inbrekers kunnen bewegingssensoren uitschakelen en vervolgens hun slag slaan. Of de aanvallers kunnen via webcams die eigenlijk waren bedoeld als inbraakbeveiliging meekijken in de huiskamer. Maar er is nog veel meer mis met de beveiliging van de WeMo-producten: eerder werden problemen met het NAT-protocol ontdekt waardoor unieke ID’s makkelijk te raden zijn. Een paar maanden geleden ontdekte een onderzoeker al dat je met het Belkin-systeem kunt meeluisteren met een babyfoon of erger nog: baby’s de stuipen op het lijf jagen. De Belkin WeMo babyfoon is al sinds najaar 2012 op de markt. Het WeMo-systeem zelf werd begin 2012 aangekondigd.

Op de lijst van CERT zijn gisteren vijf kwetsbaarheden gepubliceerd, die variëren van ontbrekende SSL-encryptie tot XML-injectie. Beveiligingsbedrijf IOActive rapporteerde de kwetsbaarheden aan CERT, die vervolgens contact opnam met Belkin. Belkin is al sinds maart 2013 op de hoogte van de problemen, maar heeft nog geen actie ondernomen. Toen de zaak met de babyfoons speelde, reageerde Belkin met de simpele verklaring dat de WeMo-babyfoon niet minder veilig was dan andere computerapparatuur wanneer de gebruiker de standaard beveiligingsmaatregelen neemt. Beveiligingsbedrijf IOActive raadt het gebruik van Belkin WeMo echter ten strengste af:

“Due to Belkin not producing any fixes for the issues discussed, IOActive felt it important to release an advisory and recommends unplugging all devices from the affected WeMo products.”

Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!