Beveiligingslekken in een slimme thermostaat van Trane maakten het mogelijk om met een standaardwachtwoord in te loggen het apparaat en om via een bufferoverflow-aanval willekeurige code uit te voeren. Het duurde meer dan een jaar voordat er een oplossing kwam.

Volgens de tijdlijn van het Talos-beveiligingsteam van Cisco werd de eerste kwetsbaarheid in april 2014 aan het Amerikaanse bedrijf Trane gemeld. Het bedrijf had een voorgeprogrammeerd standaardwachtwoord gebruikt in zijn ComfortLink II-thermostaat, waarmee een aanvaller via een ssl-verbinding op afstand op het apparaat kon inloggen. Ook was het mogelijk om via twee bufferoverflow-kwetsbaarheden specifieke geheugensegmenten te overschrijven, waardoor mogelijk willekeurige code kon worden uitgevoerd. Trane kwam echter pas in april 2015 met een oplossing voor twee van de drie kwetsbaarheden en voerde in januari nog een ronde updates door om ook het laatste probleem op te lossen.

Het Cisco-team kon er niet achter komen of Trane zijn klanten op de hoogte had gesteld van de beschikbaarheid van patches. Dit is problematisch, omdat de kwetsbaarheden ervoor kunnen zorgen dat een aanvaller de thermostaat gebruikt om verder het thuisnetwerk van een gebruiker binnen te dringen en het apparaat te gebruiken om malware te verspreiden. De onderzoekers voegen daaraan toe dat het probleem is dat 'slimme' apparaten vaak niet zijn voorzien van een updatemechanisme en dat er bij de gebruikers vaak geen besef aanwezig is om dit soort systemen handmatig van een update te voorzien. Trane verkoopt de ComfortLink II-thermostaten volgens zijn site alleen in de VS.

Bron: Tweakers.net