De populaire smart home-software OpenHAB wordt op grote schaal onveilig gebruikt. Dat brengt ernstige privacyrisico’s met zich mee, zo blijkt uit onderzoek van KPN Security. De onderzoekers kregen via OpenHAB eenvoudig toegang tot slimme apparaten bij mensen thuis. In één geval konden zij zelfs de locatie van de bewoners monitoren.
Risico’s smart home
Een ‘smart home’ heeft allerlei voordelen, zoals de mogelijkheid om apparaten op afstand te bedienen en processen te automatiseren. Maar deze technologie brengt ook risico’s met zich mee. Zo kunnen kwaadwillenden apparaten manipuleren of gevoelige informatie inzien. Het is dus cruciaal dat slimme apparaten goed beveiligd zijn. Dat geldt ook voor beheerplatformen zoals OpenHAB. Tienduizenden mensen gebruiken deze ‘domoticasoftware’ om hun smart home centraal aan te sturen.
Onderzoek naar OpenHAB
KPN Security schakelde een ethisch hacker in om onderzoek te doen. Via geavanceerde zoekopdrachten kreeg deze specialist al snel meerdere OpenHAB-installaties in het vizier. Bij ongeveer de helft was het dashboard van OpenHAB volledig toegankelijk, zonder gebruikersnaam en wachtwoord. Via het dashboard kon hij bijvoorbeeld de temperatuur binnen en de instellingen van de boiler aanpassen. Ook was het mogelijk om lampen en de audio-installatie te bedienen – wat de hacker overigens niet actief deed.
Extreem privacygevoelig
In één geval kon de hacker zelfs de locatie van de bewoners volgen. Hij zag op een plattegrond hoe een van de bewoners elke avond rond dezelfde tijd naar buiten ging, en na 10 minuten weer terugkwam. Dergelijke informatie uit de persoonlijke levenssfeer is interessant voor criminelen. Zij kunnen hiermee bijvoorbeeld een inbraak of ontvoering plannen. De hacker wist namelijk ook het adres en de identiteit van deze bewoners te achterhalen.
Gebruiker is verantwoordelijk
KPN Security hoopt dat dit onderzoek een wake-upcall is voor OpenHAB-gebruikers. En dat gebruikers zich realiseren dat een smart home verantwoordelijkheden met zich meebrengt. OpenHAB is beslist niet inherent onveilig, maar Het is aan de gebruiker om het platform op een veilige manier te gebruiken. Net als alle andere technologie die je in huis haalt, zo geeft de organisatie aan.
