De populaire domoticasoftware OpenHAB wordt op grote schaal onveilig gebruikt. Dat brengt ernstige privacyrisico’s met zich mee, zo blijkt uit onderzoek van KPN Security. De onderzoekers kregen via OpenHAB eenvoudig toegang tot slimme apparaten bij mensen thuis. In één geval konden zij zelfs de locatie van de bewoners monitoren.
Een ‘smart home’ heeft allerlei voordelen, zoals de mogelijkheid om apparaten op afstand te bedienen en processen te automatiseren. Maar deze technologie brengt ook risico’s met zich mee. Zo kunnen kwaadwillenden apparaten manipuleren of gevoelige informatie inzien. Het is dus cruciaal dat slimme apparaten goed beveiligd zijn. Dat geldt ook voor beheerplatformen zoals OpenHAB. Tienduizenden mensen gebruiken deze ‘domoticasoftware’ om hun smart home centraal aan te sturen.
Onderzoek naar OpenHAB
Smart homes zijn meestal hobbyprojecten. “Mensen willen gewoon dat het werkt. Beveiliging staat niet bij iedereen scherp op het netvlies”, zegt Sjoerd Hulzinga, securityspecialist bij KPN Security. Een kapitale fout, vindt hij. “Dit is een complexe systeemintegratie waarbij de apparaten ook nog zeer privacygevoelige data genereren. Je moet dus goed nadenken over de architectuur, en de beveiligingsmogelijkheden binnen OpenHAB benutten. Wij waren benieuwd in hoeverre gebruikers dit daadwerkelijk doen.”
Ethisch hacker Siep van der Waal ging op onderzoek uit. Via geavanceerde zoekopdrachten kreeg hij al snel meerdere OpenHAB-installaties in het vizier. Bij ongeveer de helft was het dashboard van OpenHAB volledig toegankelijk, zonder gebruikersnaam en wachtwoord. Via het dashboard kon hij bijvoorbeeld de temperatuur binnen en de instellingen van de boiler aanpassen. Ook was het mogelijk om lampen en de audio-installatie te bedienen. “Die grens ga ik als onderzoeker natuurlijk niet over.”
Extreem privacygevoelig
In één geval kon Van der Waal zelfs de locatie van de bewoners volgen. “Ik zag op een plattegrond hoe de vrouw elke avond rond dezelfde tijd naar buiten ging, en na 10 minuten weer terugkwam. Zij ging even de hond uitlaten.” Als onderzoeker is hij wel wat gewend, maar zelfs hij schrok hiervan. “Veel privacygevoeliger dan dit wordt het niet. Dergelijke informatie uit de persoonlijke levenssfeer is interessant voor criminelen. Zij kunnen hiermee bijvoorbeeld een inbraak of ontvoering plannen.”
Van der Waal wist ook het adres en de identiteit van deze bewoners te achterhalen. “Uit de plattegrond kon ik de omliggende straatnamen halen, in de logging zag ik voornamen staan en in een webserver kwam ik de achternaam tegen.” Opvallend genoeg was de beheerder een IT-specialist. “We hebben via LinkedIn meerdere berichten gestuurd om de bewoners te informeren, maar kregen helaas geen reactie.”
Gebruiker is verantwoordelijk
KPN Security hoopt dat dit onderzoek een wake-upcall is voor OpenHAB-gebruikers. “Een smart home brengt verantwoordelijkheden met zich mee”, vindt Van der Waal. “Als beheerder moet je niet alleen kijken of alles werkt, maar ook de veiligheid waarborgen.” Hulzinga is het daar hartgrondig mee eens. ”OpenHAB is niet inherent onveilig. Het is aan de gebruiker om het platform op een veilige manier te gebruiken. Net als alle andere technologie die je in huis haalt.”
In dit artikel geeft KPN Security adviezen om de risico’s rondom OpenHAB te beperken.