Draadloos inbraakalarm SimpliSafe eenvoudig te hacken

Een draadloos inbraakalarm van fabrikant SimpliSafe blijkt op afstand uitgezet te kunnen worden. Met een smartphone-app kan het systeem door het invoeren van een pincode aan- of uitgezet worden.

Deze code wordt draadloos, zonder geëncrypt te zijn, via de keypad naar het basisstation gezonden. Op deze manier kan het systeem uitgezet worden. Onderzoeker Andrew Zonenberg van IOActive heeft dit onlangs bekendgemaakt.

Firmware-update geen optie
Deze kwetsbaarheid is niet op simpele wijze te repareren, denkt Zonenberg. De keypad zendt de pincode immers naar iedereen die luistert, zonder dat de pincode geëncrypt is. Ook een firmware-update om het systeem alsnog van een versleuteling te voorzien, is geen optie. Het systeem kan namelijk slechts eenmalig geprogrammeerd worden. De enige oplossing lijkt te zijn om de keypad en het basisstation te vernieuwen.

Beveiligingsproduct
“Deze eenvoudige kwetsbaarheid is met name alarmerend omdat het in een ‘beveiligingsproduct’ aanwezig is dat met het beveiligen van meer dan een miljoen huizen wordt toevertrouwd”, aldus Zonenberg. Ook is het mogelijk dat kwaadwillenden het beveiligingssysteem volledig overnemen. SimpliSafe heeft nog niet gereageerd op het nieuws.

Aanmelden voor onze nieuwsbrief