De met de cloud verbonden robotstofzuigers van Shark zijn momenteel kwetsbaar voor een niet-gepatchte beveiligingsfout in het AWS (Amazon Services) IoT-beleid (Internet of Things), waardoor één gehackt apparaat kan worden omgevormd tot een ‘universele sleutel’ waarmee op afstand toegang kan worden verkregen tot vele andere apparaten in dezelfde regio, inclusief toegang tot camera’s, kaarten en wifi-wachtwoorden.
Een onderzoeker met de gebruikersnaam tokay0 heeft een Shark RV2320EDUS-robotstofzuiger uit elkaar gehaald en ontdekte dat het ingebouwde AWS IoT-certificaat toestemming heeft om onderwerpen te publiceren en te volgen voor elk Shark-apparaat in dezelfde AWS-regio, en niet alleen voor zichzelf.
Een AWS-regio is een afzonderlijke geografische locatie waar Amazon zijn clouddatacenters Amazon . Elke AWS-regio is volledig geïsoleerd van de andere. Er zijn momenteel wereldwijd 39 AWS-regio's.
AWS biedt standaard per apparaat „schaduwen“ aan waarin de status, zoals configuratie en opdrachten, wordt opgeslagen. Door het veel te soepele MQTT-beleid (Message Queuing Telemetry Transport) van Shark kan een gestolen certificaat echter ook communiceren met de schaduwen van andere stofzuigers.
Simpel gezegd betekent dit dat elke stofzuiger zijn eigen ‘inbox’ in de cloud zou moeten hebben. Omdat de cloudregels van Shark te ruim zijn, kan een certificaat dat van één stofzuiger is gestolen ook opdrachten naar de inboxen van andere stofzuigers sturen.
Hoewel het certificaat via fysieke toegang en een debugconsole uit het vacuüm werd gehaald – wat betekent dat voor de eerste inbreuk fysieke toegang vereist is – vindt het daaropvolgende misbruik op afstand en in de cloud plaats.
Voor eigenaren gaat het hier niet alleen om het feit dat iemand om 3.00 uur ’s nachts je stofzuiger aanzet. Volgens de onderzoeker zou een aanvaller met die toegang tot de cloud het volgende kunnen doen:
- Bekijk de beelden via de camera van de stofzuiger, waardoor deze verandert in een mobiel bewakingsapparaat in uw huis.
- Steel het wifi-wachtwoord, dat volgens de onderzoeker in leesbare tekst is opgeslagen, waardoor hij mogelijk toegang krijgt tot je lokale netwerk.
- Kopieer de plattegrond van je huis die de stofzuiger heeft gemaakt, waarop de indeling van de kamers en de gebruiksfrequentie van de verschillende ruimtes te zien zijn.
We hebben eerder gezien hoe ‘slimme’ stofzuigers een risico voor de privacy en veiligheid kunnen vormen wanneer fabrikanten bezuinigen op beveiliging. Malwarebytes Labs uitgelegd hoe robotstofzuigers van Ecovacs kunnen worden gekaapt om obscene berichten af te spelen en gebruikers te bespioneren via hun luidsprekers en sensoren, waarmee wordt aangetoond hoe snel een handig huishoudelijk apparaat een ongewenste huisgast kan worden.
Met behulp van het certificaat uit zijn eigen „vacuum“ kon de onderzoeker het verkeer van Shark-apparaten in dezelfde AWS-regio monitoren en vaststellen welke apparaten het uitvoeren van opdrachten op afstand ondersteunden. Gedurende een periode van 24 uur in één enkele AWS-regio registreerde de onderzoeker 1.517.605 unieke serienummers van Shark-apparaten en constateerde hij dat 673.816 apparaten (ongeveer 44%) op een manier reageerden die erop wees dat ze de functie voor het uitvoeren van opdrachten op afstand ondersteunden.
De onderzoeker schreef:
“Het is moeilijk om het exacte aantal getroffen apparaten in te schatten, en nog moeilijker om vast te stellen welke apparaten deze verkeerd geconfigureerde certificaten bevatten die publicatie tussen verschillende apparaten mogelijk maken.”
Maar kwam tot de conclusie dat:
“Een zeer groot aantal SharkNinja IoT-apparaten is kwetsbaar voor dit beveiligingslek.”
Hoe blijf ik veilig
De kern van dit probleem is een beleid aan de cloudzijde dat niet streng genoeg is. Daardoor is dit een probleem aan de serverzijde, en geen firmwarefout die je zelf kunt verhelpen.
Volgens de onderzoeker heeft SharkNinja het beveiligingslek nog niet verholpen, hoewel het bedrijf hierover al meer dan zes maanden geleden op de hoogte is gesteld. Zolang daar geen verandering in komt, moeten eigenaren:
- Oefen druk uit op Shark om het probleem op te lossen.
- Schakel de afstandsbediening van de stofzuiger uit of verbreek de verbinding met het wifi-netwerk als u de slimme functies niet nodig hebt.
- Houd de mededelingen van Shark in de gaten over een oplossing, CVE of terugroepactie.
Surf alsof niemand kijkt.
Malwarebytes Privacy VPN je verbinding en houdt nooit bij wat je doet, zodat het volgende artikel dat je leest niet als iets persoonlijks hoeft te voelen.Probeer het gratis →




