Home » Smart home nieuws » Onderzoekers ontdekken beveiligingsfouten in Zipato Smart Home Hubs

Onderzoekers ontdekken beveiligingsfouten in Zipato Smart Home Hubs

zipato hub hack
  • Robbert Tigchelaar
  • 9-7-2019

Beveiligingsonderzoekers hebben drie beveiligingsfouten ontdekt in de ZipaMicro, een van de populairste smart home hubs van Zipato. Door de combinatie van de drie beveilingsfouten was het mogelijk om een gekoppeld slim deurslot te kunnen openen van een woning door onbevoegden. Inmiddels heeft Zipato het probleem verholpen. 

Chase Dardaman en Jason Wheeler hebben onlangs onderzoek gedaan naar de veiligheid van de ZipaMicro. Deze populaire smart home controller van Zipato bleek drie beveiligingsfouten te bevatten, waarmee het basisstation kwetsbaar was voor een hack. Het onderzoek werd vorige week gepubliceerd en gedeeld met TechCrunch.

Onbevoegden konden deuren met slim deurslot openen

In het onderzoek kwamen drie grote beveiligingsfouten naar voren die in combinatie kritiek waren voor een mogelijke hack. Zo zou een slim deurslot door een onbevoegd iemand geopend kunnen worden. De onderzoekers ontdekten dat de SSH-sleutel op makkelijke wijze uitgelezen kon worden, waarna zij root-toegang (toegang op het hoogste niveau) hadden. Deze SSH-sleutel was op elk apparaat identiek.

Met deze privésleutel konden de onderzoekers een bestand downloaden van de controller met daarin alle versleutelde wachtwoorden om toegang te krijgen tot de hub.

“Pass-the-Hash” verificatiesysteem

Dank zij het toegepaste Pass-the-Hash verificatiesysteem van de smart home controller, is alleen gecodeerd wachtwoord nodig om toegang te krijgen. Door het gecodeerde wachtwoord in te geven, lieten de onderzoekers de smart home controller denken dat zij de daadwerkelijke eigenaren waren.

Vanaf dat moment zouden hackers alleen nog maar een specifieke commando hoeven te sturen naar bijvoorbeeld een slim deurslot. De beveiligingsonderzoekers bouwden een simpel scriptje, waarmee dit vervolgens mogelijk bleek te zijn.

Zipato heeft problemen inmiddels opgelost

Hoewel de onderzoekers de beveiligingsproblemen al langer geleden ontdekt hadden, kwamen ze er pas vorige week mee naar buiten. Netjes: hiermee had Zipato enkele weken de tijd om het probleem op te lossen, wat inmiddels gebeurd is.

Elke smart home hub wordt nu geleverd met een unieke SSH-sleutel en er zijn diverse beveiligingsverbeteringen doorgevoerd. Ook is Zipato gestopt met de specifieke ZipaMicro smart home controller.

Meer smart home nieuws

ikea slimme jaloezien
Homey zone activiteit
betere versie amazon echo
google luistert mee
meer dan miljoen huizen in nederland slim beveiligd
hema verkoopt homies