Kant-en-klare apparaten, waaronder babyfoons, huisveiligheidscamera's, deurbellen, en thermostaten werden gemakkelijk gecoöpteerd door cyberonderzoekers van de Ben-Gurion University of the Negev (BGU). Als onderdeel van hun lopende onderzoek naar het detecteren van kwetsbaarheden van apparaten en netwerken die zich uitbreiden in het slimme huis en Internet of Things (IoT), de onderzoekers hebben veel veelvoorkomende apparaten gedemonteerd en reverse-engineered en hebben snel ernstige beveiligingsproblemen ontdekt.

"Het is werkelijk beangstigend hoe gemakkelijk een crimineel, voyeur of pedofiel kan deze apparaten overnemen, " zegt dr. Yossi Oren, een hoofddocent bij de afdeling Software and Information Systems Engineering van BGU en hoofd van het Implementation Security and Side-Channel Attacks Lab bij Cyber@BGU. "Door deze apparaten in ons lab te gebruiken, we konden luide muziek afspelen via een babyfoon, zet een thermostaat uit en zet een camera op afstand aan, tot grote zorg van onze onderzoekers die deze producten zelf gebruiken."

"Het duurde slechts 30 minuten om wachtwoorden te vinden voor de meeste apparaten en sommige werden alleen gevonden via een Google-zoekopdracht van het merk, " zegt Omer Shwartz, een doctoraat student en lid van het laboratorium van Dr. Oren. "Zodra hackers toegang hebben tot een IoT-apparaat, als een fototoestel, ze kunnen een heel netwerk van deze cameramodellen op afstand bedienen."

De BGU-onderzoekers ontdekten verschillende manieren waarop hackers misbruik kunnen maken van slecht beveiligde apparaten. Ze ontdekten dat vergelijkbare producten van verschillende merken dezelfde gemeenschappelijke standaardwachtwoorden delen. Consumenten en bedrijven veranderen zelden wachtwoorden van apparaten bij aankoop, zodat ze jarenlang geïnfecteerd kunnen blijven met kwaadaardige code.

Ze konden zich ook aanmelden bij volledige wifi-netwerken door simpelweg het wachtwoord op te halen dat op een apparaat was opgeslagen om toegang tot het netwerk te krijgen.

Dr. Oren dringt er bij fabrikanten op aan om te stoppen met het gebruik van gemakkelijke, hardgecodeerde wachtwoorden, om de mogelijkheden voor toegang op afstand uit te schakelen, en om het moeilijker te maken om informatie van gedeelde poorten te krijgen, zoals een audio-aansluiting die kwetsbaar bleek in andere onderzoeken door Cyber@BGU-onderzoekers. "Het lijkt erop dat het op de markt brengen van IoT-producten tegen een aantrekkelijke prijs vaak belangrijker is dan ze goed te beveiligen, " hij zegt.

Tips voor IoT-productbeveiliging

Met als doel consumenten slimmer te maken over de bescherming van smarthome-apparaten, BGU-onderzoekers bieden een aantal tips om IoT-apparaten, gezinnen en bedrijven veiliger:

1. Koop alleen IoT-apparaten van gerenommeerde fabrikanten en leveranciers.

2. Vermijd gebruikte IoT-apparaten. Ze kunnen al malware hebben geïnstalleerd.

3. Onderzoek elk apparaat online om te bepalen of het een standaardwachtwoord heeft en zo ja, wijzig dit voordat u het installeert.

4. Gebruik sterke wachtwoorden van minimaal 16 letters. Deze zijn moeilijk te kraken.

5. Meerdere apparaten mogen niet hetzelfde wachtwoord delen.

6. Update regelmatig software die u alleen van gerenommeerde fabrikanten krijgt.

7. Overweeg zorgvuldig de voordelen en risico's van het verbinden van een apparaat met internet.

"De toename van de populariteit van IoT-technologie biedt veel voordelen, maar deze golf van nieuwe, innovatieve en goedkope apparaten onthullen complexe beveiligings- en privacy-uitdagingen, " zegt Yael Mathov, die ook meededen aan het onderzoek. "We hopen dat onze bevindingen fabrikanten meer verantwoordelijk zullen houden en zowel fabrikanten als consumenten zullen helpen waarschuwen voor de gevaren die inherent zijn aan het wijdverbreide gebruik van onbeveiligde IoT-apparaten."