Hack of Home Security System belicht problemen met IoT-kwetsbaarheid

Op IoT gebaseerde beveiligingssystemen voor thuis hebben hun eigen beveiligingsproblemen gehad, maar dat weerhoudt consumenten er niet van om ze te kopen. Naarmate hun populariteit toeneemt, lijkt ook het aantal beveiligingsfouten dat erin wordt gevonden, toe te nemen.

Dankzij een YouTuber die zichzelf "LockPickingLawyer" noemt, bleek het SimpliSafe DIY-beveiligingssysteem gemakkelijk te worden aangetast door een draadloze zender van $ 2.

Zie ook: Nieuwe high-level IoT-beveiligingsrichtlijnen van NIST

In een video demonstreerde LockPickingLawyer hoe een goedkope draadloze zender die de frequentie van de deur- en raamsensoren van het systeem nabootst, kan voorkomen dat het alarm wordt geactiveerd als een deur of raam wordt geopend. Dit wordt bereikt door de zender te gebruiken terwijl de deur of het raam wordt geopend. Hij voegde er wel aan toe dat als de zender te dicht bij de alarmbasis komt, de gebruiker een melding krijgt van draadloze interferentie. Deze hack wordt mogelijk gemaakt door de afhankelijkheid van het systeem van de 433,92 MHz-frequentie, die door een groot aantal andere elektronica wordt gebruikt.

Toen The Verge contact met hem opnam, betwistte SimpliSafe de bevindingen van de YouTuber:

“De video is misleidend en is niet van toepassing op hoe beveiligingssystemen in het echte leven werken. In deze video vindt de videomaker een precieze frequentie, signaalsterkte en oriëntatie van systeemcomponenten waarin ze de naald van blokkerende systeemcommunicatie kunnen doorvoeren zonder een waarschuwing te activeren.

In het echte leven is dit onwaarschijnlijk. Omdat de signaalsterkte onvoorspelbaar verslechtert, afhankelijk van de afstand en het landschap, zou het voor iedereen erg moeilijk zijn om de "juiste" sterkte te bereiken zonder een waarschuwing te activeren.

LockPickingLawyer antwoordde:“SimpliSafe heeft er moeite mee dat de systeemcomponenten tijdens de video dicht bij elkaar worden geplaatst. Dat was een noodzaak voor het maken van films, niet een fysieke beperking van de exploit. Tijdens mijn tests droeg ik sensoren weg van het basisstation naar de verre uithoeken van mijn huis, voerde vervolgens dezelfde tests uit met hetzelfde apparaat en kreeg dezelfde resultaten. Testen op realistische afstanden lieten zelfs een groter probleem zien, aangezien het SimpliSafe-systeem de interferentie minder snel detecteerde.

De andere kritiek van SimpliSafe is dat iemand voorkennis van de opstelling van het systeem nodig heeft om de detectie van interferentie te voorkomen. Het bedrijf valt een stroman aan. Wat nodig is om detectie van deze exploit te voorkomen, viel buiten het bestek van mijn testen. In mijn video wordt zelfs expliciet vermeld dat SimpliSafe de interferentie kan detecteren. Detectie van interferentie heeft echter nooit een alarm veroorzaakt tijdens mijn testen. Het heeft alleen een "waarschuwing" gestuurd die de bewoner al dan niet kan onderzoeken."

Dit is niet de eerste keer dat SimpliSafe onder vuur komt te liggen vanwege een beveiligingsprobleem. In 2016 bleek het systeem "inherent onveilig en kwetsbaar" te zijn nadat onderzoekers van IOActive het beveiligingssysteem konden infiltreren en uitschakelen en het radioverkeer konden afluisteren. Een medewerker van Security Sales and Integration en alarmexpert analyseerden het systeem en de resultaten waren somber.