9 april 2015 11:41

Slim huis blijkt lek huis

Een analyse van populaire producten voor een slim huis toont aan dat het triest gesteld is met de beveiliging er van. Lekken maken afpersing, diefstal en zelfs stalken mogelijk.

De beveiliging van het internet der dingen blijft een heikel punt. Een pijnlijke zaak, aangezien we steeds meer slimme toestellen in onze huizen plaatsen om het leven eenvoudiger te maken. Een hub die je lampen, thermostaat en/of deuren bestuurt klinkt aanlokkelijk, maar als consument ga je er misschien niet van uit dat de lokale dievenbenden of een vervelend ex zich ook toegang kan verschaffen tot de toestellen.

Steekproef

Beveiligingsbedrijf Veracode besloot een stand van zaken te maken en testte daartoe zes populaire Smart Home-toepassingen. De MyQ Internet Gateway en de MyQ Garage van Chamberlain laten toe om respectievelijk de garage en andere deuren en stopcontacten te bedienen. Ubi geeft je huis oren en een mond zodat je antwoorden op je vragen krijgt en slimme toepassingen met je stem kan bedienen, den de Wink Hub en Wink Relay zijn twee hub-toestellen voor automatisering. Tot slot werd ook de Hub van SmartThings onder handen genomen. Dat toestel zal rond het einde van het jaar in Europa op de markt gebracht worden door Samsung, onder de merknaam Smart Home.

[related_article id=”161920″]

Slecht resultaat

De resultaten waren bedroevend. Vooral de Ubi scoort erbarmelijk slecht op vrijwel alle testcriteria, gevolgd door de MyQ Garage. Slechts één toestel is voor het grootste deel veilig: de SmartThings Hub.

Veracode keek eerst naar de communicatie tussen het slimme toestel en de cloudinterface voor de consument. Communicatie met het web moet van Ubi niet versleuteld worden, en enkel de Hub van SmartThings vereist een sterk wachtwoord.

Vervolgens ging de firma na hoe veilig de toestellen communiceerden met de online-infrastructuur van het achterliggende bedrijf. De manier waarop een hub zich moest aanmelden werd onder de loep genomen, net als de mate van codering. Veracode keek verder in welke mate er bescherming was ingebouwd tegen een zogenaamde Man In The Middle-aanval. Daarbij plaatst een hacker zich tussen de server en het toestel, waardoor hij alle informatie te pakken kan krijgen. Onveilige communicatie kan leiden tot criminelen die je activiteit binnenshuis monitoren, alsook het stelen van eventuele wachtwoorden.

In een derde test werd er gekeken naar de rechtstreekse communicatie tussen apps op je smartphone en de hub in kwestie. Zonder de juiste bescherming kan data gestolen worden, of kunnen hackers Man In The Middle-aanvallen uitvoeren.

Tot slot ging Veracode na hoe eenvoudig het is om op de debug-interface van een toestel te raken. Die moet normaal afgeschermd zijn van gebruikers omdat ze toegang geeft tot de achterliggende code op het toestel. Het bedrijf onderzocht of fysieke toegang tot het toestel noodzakelijk is om de debug-interface te openen, of er andere beveiliging voorzien is, en of een eventuele hacker eigen code kan draaien zodra hij toegang heeft.

De resultaten laten heel wat te wensen over. De test is slechts een steekproef, maar geeft desalniettemin een goed beeld van de huidige stand van zaken. Beveiliging lijkt nog steeds geen absolute prioriteit voor veel ontwikkelaars en dat is een probleem. Wanneer een hacker toegang krijgt tot je domoticasysteem wil dat niet noodzakelijk zeggen dat hij je verwarming zal afzetten of je lampen wil doen knipperen, maar hij kan wel zien wanneer je meestal van huis bent om dan zijn slag te slaan. Andersom kan een stalker zien wanneer je net wel thuis bent. In het geval van Ubi, of een andere kwetsbare hub waaraan microfoons verbonden zijn, kan iemand in theorie zelfs meeluisteren naar alles wat er binnenshuis gezegd wordt.