Ring-videodeurbel lekte wifi-wachtwoord tijdens het instellen

doorSecuratis

Ring-videodeurbel lekte wifi-wachtwoord tijdens het instellen

Tijdens het instellen van de Ring-videodeurbel kon het wachtwoord van het lokale wifi-netwerk door aanvallers worden onderschept en gebruikt om verdere aanvallen mee uit te voeren, zo laat antivirusbedrijf Bitdefender vandaag weten. De videodeurbel maakt gebruik van het wifi-netwerk van de gebruiker om met het internet te communiceren.

Dit wifi-wachtwoord moet echter eerst naar de videodeurbel worden gestuurd. Wanneer de deurbel voor het eerst wordt ingesteld creëert die een eigen, onbeveiligd access point dat zonder wachtwoord toegankelijk is. De smartphone-app van Ring maakt automatisch verbinding met dit access point en verstuurt via http de inloggegevens van het lokale netwerk. Omdat dit via http gebeurt en het access point van de videodeurbel zelf onbeveiligd is, kan iedereen in de buurt deze gegevens onderscheppen.

Daarnaast is het mogelijk voor een aanvaller om deauthenticatieberichten te versturen waardoor de deurbel zijn verbinding met het wifi-netwerk verliest. Vervolgens zal de app de gebruiker vragen om het apparaat opnieuw in te stellen, waarbij het wifi-wachtwoord weer onversleuteld wordt verstuurd en te onderscheppen valt. Bitdefender informeerde Amazon op 24 juli over het probleem. Op 5 september werd er onder gebruikers een update uitgerold, waarna Bitdefender vandaag de details openbaar maakte.

Image

https://www.security.nl/posting/630604/Ring-videodeurbel+lekte+wifi-wachtwoord+tijdens+het+instellen?channel=rss

Over de auteur

Securatis administrator