KPN Security waarschuwt voor onveilig gebruik OpenHAB

De populaire domoticasoftware OpenHAB wordt op grote schaal onveilig gebruikt, aldus onderzoek van KPN Security. Dat brengt ernstige privacyrisico’s met zich mee. De onderzoekers kregen via OpenHAB eenvoudig toegang tot slimme apparaten bij mensen thuis. In één geval konden zij zelfs de locatie van de bewoners monitoren.

Behalve voordelen - zoals de mogelijkheid om apparaten op afstand te bedienen en processen te automatiseren - brengt smart home-technologie ook risico’s met zich mee. Cybercriminelen kunnen niet goed beveiligde devices manipuleren of gevoelige informatie inzien. Het is daarom cruciaal dat slimme apparaten goed beveiligd zijn, stelt KPN. Dat geldt ook voor beheerplatformen zoals OpenHAB. Tienduizenden mensen gebruiken deze ‘domoticasoftware’ om hun smart home centraal aan te sturen.

Goed nadenken

Smart homes zijn meestal hobbyprojecten, zegt Sjoerd Hulzinga, securityspecialist bij KPN Security. “Mensen willen gewoon dat het werkt. Beveiliging staat niet bij iedereen scherp op het netvlies. Dit is echter een complexe systeemintegratie waarbij de apparaten ook nog zeer privacygevoelige data genereren. Je moet dus goed nadenken over de architectuur, en de beveiligingsmogelijkheden binnen OpenHAB benutten. Wij waren benieuwd in hoeverre gebruikers dit ook echt doen.”

Via geavanceerde zoekopdrachten bleek volgens ethisch hacker Siep van der Waal dat bij ongeveer de helft van onderzochte OpenHAB-platforms het dashboard van buitenaf volledig toegankelijk was, zonder gebruikersnaam en wachtwoord. Zo kon hij bijvoorbeeld de temperatuur binnen en de instellingen van een boiler aanpassen. Ook was het mogelijk om lampen en de audio-installatie te bedienen. “Die grens ga ik als onderzoeker natuurlijk niet over.”

In één geval kon Van der Waal zelfs de locatie van bewoners volgen en hun adres en identiteit achterhalen. Zelfs hij schrok hiervan. “Veel privacygevoeliger dan dit wordt het niet. Dergelijke informatie uit de persoonlijke levenssfeer is interessant voor criminelen. Zij kunnen hiermee bijvoorbeeld een inbraak of ontvoering plannen. We hebben via LinkedIn meerdere berichten gestuurd om de bewoners te informeren, maar kregen helaas geen reactie.”

Wake up call

KPN Security hoopt dat dit onderzoek een wake up call is voor OpenHAB-gebruikers. “Een smart home brengt verantwoordelijkheden met zich mee”, vindt Van der Waal. “Als beheerder moet je niet alleen kijken of alles werkt, maar ook de veiligheid waarborgen.” Hulzinga is het daar hartgrondig mee eens. ”OpenHAB is niet inherent onveilig. Het is aan de gebruiker om het platform op een veilige manier te gebruiken. Net als alle andere technologie die je in huis haalt.”

KPN Security geeft ook adviezen om de risico’s rondom OpenHAB te beperken.