Door een kritieke kwetsbaarheid in Shelly smart home-apparaten lopen meer dan 5,2 miljoen Europese huizen het risico van ongeoorloofde toegang. Beveiligingsonderzoekers van Pen Test Partners ontdekten dat de nieuwste generatie (Gen 4) Shelly-apparaten een verborgen Wi-Fi-toegangspunt permanent actief houdt, zelfs nadat verbinding is gemaakt met een thuisnetwerk. Met deze achterdeur kan iedereen in de buurt beveiligingsmaatregelen omzeilen en mogelijk controle krijgen over deuren, poorten en andere aangesloten apparaten.
De verborgen achterdeur uitgelegd
In tegenstelling tot oudere Shelly-modellen die het tijdelijke toegangspunt na de installatie automatisch afsluiten, laten Gen 4-apparaten het voor onbepaalde tijd actief. Deze ontwerpfout creëert een onzichtbaar toegangspunt voor hackers, waardoor ze zonder hun medeweten het netwerk van de huiseigenaar kunnen exploiteren.
De gevolgen zijn ernstig. Een aanvaller kan dit open toegangspunt gebruiken om slimme sloten te ontgrendelen, garagedeuren te openen of beveiligingssystemen uit te schakelen – allemaal zonder een alarm te activeren of duidelijke sporen achter te laten.
Breder netwerkrisico
Het probleem reikt verder dan Shelly-apparaten. Eén enkel aangetast Gen 4-apparaat kan fungeren als toegangspoort tot een volledig smart home-netwerk, inclusief apparaten van andere fabrikanten. Veel Europese huishoudens combineren slimme huismerken, waardoor ze bijzonder kwetsbaar zijn. Het probleem gaat niet alleen over het falen van één product; het gaat over het opeenvolgen van fouten in onderling verbonden systemen.
Vertraagde reactie, verantwoordelijkheid van de gebruiker
Pen Test Partners bracht Shelly op de hoogte van het beveiligingslek, wat het bedrijf ertoe aanzette Firmware 1.8.0 als oplossing uit te brengen. De update vereist echter een handmatige installatie en de meeste gebruikers weten niet dat ze actie moeten ondernemen. Volgens Ken Munro, oprichter van Pen Test Partners, communiceert Shelly traag over de kwestie vanwege reputatieproblemen.
Shelly beweert dat hun mobiele app gebruikers begeleidt bij het correct beveiligen van apparaten, maar dit is afhankelijk van het volgen van officiële installatieprocedures. Gebruikers die hun apparaten handmatig configureren, ontvangen waarschuwingen over het beveiligen van het toegangspunt. Een komende firmware-update zal het open access point na een time-outperiode automatisch uitschakelen, maar tot die tijd moeten huiseigenaren initiatief nemen.
De groeiende trend van IoT-kwetsbaarheden
Dit is geen geïsoleerd incident. Smarthome-apparaten worden steeds vaker het doelwit van hackers, waaronder Amazon Ring-deurbellen en Dahua-beveiligingscamera’s onder recente slachtoffers. Het onderliggende probleem is een haast naar de markt zonder prioriteit te geven aan elementaire beveiligingsmaatregelen.
Fabrikanten verzamelen vaak gebruikersgegevens om producten te verbeteren, maar dit gegevenslek kan gedragspatronen aan het licht brengen die hackers misbruiken. Het probleem zijn niet alleen hardwarefouten; het zijn ook slechte praktijken op het gebied van gegevensbeheer.
“We hebben soortgelijke problemen gezien bij omvormers voor zonne-energie en meer dan tien jaar geleden zelfs een soortgelijke kwetsbaarheid gevonden in een auto.” – Ken Munro, Pentestpartners
De opkomst van verbonden apparaten betekent meer aanvalsoppervlakken voor kwaadwillende actoren. Totdat fabrikanten standaard prioriteit geven aan beveiliging, blijven consumenten kwetsbaar.
Het eindresultaat is duidelijk: slimme huisbeveiliging is slechts zo sterk als de zwakste schakel. Totdat bedrijven deze fundamentele tekortkomingen aanpakken en consumenten proactieve stappen ondernemen om hun netwerken te beveiligen, zullen slimme huizen een belangrijk doelwit blijven voor hackers.
