Via slimme koelkasten van Samsung, die in de VS worden verkocht, kunnen kwaadwillenden de inloggegevens van Gmail te pakken krijgen. Dit bericht the Register. Wie een dergelijke koelkast heeft en de Gmail-agenda op het display wil tonen, loopt het risico dat de inloggegevens van de mailclient van Google via de koelkast in handen van kwaadwillenden kunnen vallen.
De kwetsbaarheid is ontdekt door Pen Test Partners, een bedrijf dat zich specialiseert in vinden van zwakheden in software. Zij ontdekten in de Samsung RF28HMELBSR-koelkast met Wi-Fi, die de Gmail agenda op het display kan laten zien, een zogenaamde man-in-the-middle-kwetsbaarheid. Een hacker kan hierdoor data onderscheppen die tussen een server en het apparaat beweegt. In dit geval is dat dus de slimme koelkast.
Zo’n aanval is mogelijk doordat Samsung wel Secure Sockets Layer (SSL) gebruikt, maar zonder dat de koelkast het certificaat valideert. Het SSL-certificaat is pas in orde als de browser een geldige code van de websitehost terugkrijgt, iets dat Samsung naliet. Het scenario ‘spam vanaf de televisie en een DDoS-aanval uitgevoerd vanuit een gehackte koelkast’, dat Brenno de Winter in de mei-editie van ICT/Magazine schetste, lijkt dus letterlijk waarheid te worden.
Pent Test is overigens het zelfde bedrijf dat eerder dit jaar ontdekte dat slimme tv’s van Samsung altijd met alles dat in de buurt van de tv gezegd wordt meeluistert en stemcommando’s onversleuteld het internet op stuurt. Samsung heeft overigens nog niet gereageerd op de de ontdekte kwetsbaarheden van de koelkast.
