Beveiligingsfouten in Zipato Smart Home Hubs

Redactie 09-07-2019, 14:48 Laatste update: 21-10-2020

Beveiligingsonderzoekers hebben drie beveiligingsfouten ontdekt in de ZipaMicro, een van de populairste smart home hubs van Zipato. Door de combinatie van de drie beveiligingsfouten was het mogelijk om een gekoppeld slim deurslot te kunnen openen van een woning door onbevoegden. Inmiddels heeft Zipato het probleem verholpen.

zipato hub hack

© Pixabay

Chase Dardaman en Jason Wheeler hebben onlangs onderzoek gedaan naar de veiligheid van de ZipaMicro. Deze populaire smart home controller van Zipato bleek drie beveiligingsfouten te bevatten, waarmee het basisstation kwetsbaar was voor een hack. Het onderzoek werd vorige week gepubliceerd en gedeeld met TechCrunch.

Onbevoegden konden deuren met slim deurslot openen

In het onderzoek kwamen drie grote beveiligingsfouten naar voren die in combinatie kritiek waren voor een mogelijke hack. Zo zou een slim deurslot door een onbevoegd iemand geopend kunnen worden. De onderzoekers ontdekten dat de SSH-sleutel op makkelijke wijze uitgelezen kon worden, waarna zij root-toegang (toegang op het hoogste niveau) hadden. Deze SSH-sleutel was op elk apparaat identiek.

Met deze privésleutel konden de onderzoekers een bestand downloaden van de controller met daarin alle versleutelde wachtwoorden om toegang te krijgen tot de hub.

“Pass-the-Hash” verificatiesysteem

Dank zij het toegepaste Pass-the-Hash verificatiesysteem van de smart home controller, is alleen gecodeerd wachtwoord nodig om toegang te krijgen. Door het gecodeerde wachtwoord in te geven, lieten de onderzoekers de smart home controller denken dat zij de daadwerkelijke eigenaren waren.

Vanaf dat moment zouden hackers alleen nog maar een specifieke commando hoeven te sturen naar bijvoorbeeld een slim deurslot. De beveiligingsonderzoekers bouwden een simpel scriptje, waarmee dit vervolgens mogelijk bleek te zijn.

Zipato heeft problemen inmiddels opgelost

Hoewel de onderzoekers de beveiligingsproblemen al langer geleden ontdekt hadden, kwamen ze er pas vorige week mee naar buiten. Netjes: hiermee had Zipato enkele weken de tijd om het probleem op te lossen, wat inmiddels gebeurd is.

Elke smart home hub wordt nu geleverd met een unieke SSH-sleutel en er zijn diverse beveiligingsverbeteringen doorgevoerd. Ook is Zipato gestopt met de specifieke ZipaMicro smart home controller.

 Aanbieding! 
google nest hub kopen

Gebruik de Nest hub als controller

De Google Nest Hub is ook te gebruiken als een smart home controller. Elk apparaat dat te koppelen is met Google Assistant kun je hiermee bedienen, zowel fysiek, via spraak en via handige automatisering. Check hier of er nog een interessante deal is!

Meer smart home artikelen

tedee smart lock slim deurslot
amazon alexa meerdere talen
smartventskalender uiting
google nest audio koppelen
cyber security in je smart home
slimme luchtreiniger ikea fornuftig
typen met alexa
videogesprekken prioriteren google nest wifi
0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *