Qbit hackt twee alarmsystemen voor de Consumentenbond

Onze ethische hackers mochten in opdracht van de Consumentenbond proberen in te breken in twee alarmsystemen voor thuis. Een systeem gemaakt om je huis en gezin te beschermen; dat moet toch wel hackerproof zijn? Toch vonden we een aantal kwetsbaarheden.

Geplaatst op 23 juni 2020 in Blog.

De twee alarmsystemen

Qbit testte het Eminent EM8710 en het Gigaset Elements alarmsysteem. Beide alarmsystemen bestaan uit een basisstation, sensoren en een mobiele applicatie. Bij de Eminent EM8710 ontvingen we ook een simkaart en tags. Die simkaart plaats je in het basisstation zodat je een notificatie krijgt wanneer iemand probeert in te breken en de tags zijn een soort digitale sleutels waarmee je het alarmsysteem aan en uit kunt zetten. Voor beide systemen geldt dat je een melding op je telefoon ontvangt wanneer het alarm afgaat. Klinkt goed toch? Helaas vonden we bij één van de alarmsystemen een groot aantal gebreken.

Gevonden kwetsbaarheden

Wanneer je het Gigaset Elements alarmsysteem in huis hebt, kun je opgelucht ademhalen. We vonden geen kritieke kwetsbaarheden in dit systeem, enkel een kleine tekortkoming: het ontbreken van een anti-tampering mechanisme. Dit mechanisme voorkomt dat kwaadwillenden toegang tot de hardware krijgen zonder dat dit te detecteren is. Wij categoriseren deze tekortkoming als een laag risico, omdat de hacker het basisstation van het alarmsysteem hiervoor nodig heeft en deze hangt over het algemeen binnenshuis.

Maak je gebruik van de Eminent EM8710 dan hebben we helaas slecht nieuws. Onze ethische hackers vonden meerdere kwetsbaarheden waarvan drie een serieus probleem zijn voor de consument:

  1. Als iemand één van de beveiligingstags tijdelijk weet te bemachtigen, kan diegene ze eenvoudig kopiëren en vervolgens het alarmsysteem uitschakelen.

  2. Als een onbevoegd persoon voldoende dichtbij komt, kan diegene het signaal van de afstandsbediening opvangen en kopiëren. Vervolgens kan hij/zij het alarm deactiveren door het signaal opnieuw te verzenden.

  3. Als de aanvaller het telefoonnummer van het basisstation en dat van de eigenaar kent, kan hij/zij het alarmsysteem op afstand (de)activeren.

Op basis van onze bevindingen raadt de Consumentenbond het sterk af om het Eminent EM8710 alarmsysteem te kopen. Heb je dit systeem al in huis en kun je niet een-twee-drie een nieuwe aanschaffen? Zorg er dan voor dat niemand het telefoonnummer van het basisstation kent. Ook is het verstandig om de afstandsbediening en/of de tags niet te gebruiken.

De reactie van de fabrikanten

Beide fabrikanten reageerden snel op onze bevindingen. De fabrikant van het Eminent EM8710 alarmsysteem gaf aan dat dit systeem niet langer in productie is en daarom geen tijd steekt in het verbeteren van het product. De fabrikant van het Gigaset Elements alarm neemt onze bevindingen mee ter verbetering van toekomstige producten, maar pakt de kleine tekortkomingen in dit specifieke product niet aan.

Qbit voor fabrikanten

Ben je producent van een IoT-apparaat en wil je zorgen dat je als “secure” uit de test komt in onafhankelijke onderzoeken? Neem dan contact op met Qbit om je apparaat te laten testen door onze ethische hackers.

Willem Westerhof

By Willem Westerhof

Hacking & Testing

Heb je vragen over deze blog of onze diensten? E-mail me of bel me op +31 6 51 933 862.

Contact

Wereldwijd groeit de vraag naar cybersecurity. Qbit biedt inzicht en laat zien hoe we als partners kunnen samenwerken.

Contact ons

Newsletter