De 'slimme' thermostaten van de Britse firma Heatmiser zijn volgens een beveiligingsonderzoeker door een pover uitgevoerde beveiliging uiterst kwetsbaar. De apparaten kunnen op diverse manieren aangevallen worden.

De fabrikant geeft in de handleiding van zijn thermostaten, die via wifi is te benaderen, aan dat op een router de poorten 80 en 8068 opengezet moeten worden om het apparaat extern te kunnen benaderen. Port 8068 wordt vooral door Heatmiser-apparatuur gebruik, waardoor de thermostaten door middel van portscans makkelijk zijn te vinden, zo schrijft beveiligingsonderzoeker Cybergibbon op zijn blog.

Vervolgens zijn veel systemen met standaard gebruikersnamen en wachtwoorden, zoals 'admin/admin', eenvoudig binnen te komen omdat de fabrikant de gebruiker niet dwingt een eigen combinatie te kiezen.

Volgens Cybergibbon heeft Heatmiser tal van beginnersfouten gemaakt bij het ontwikkelen van zijn firmware. Bovendien is er geen directe mogelijkheid voor de eindgebruiker om de firmware eenvoudig te upgraden. Heatmiser heeft in een reactie laten weten dat het werkt aan nieuwe firmware om de genoemde problemen te verhelpen. De firmware zal aan getroffen klanten worden aangeboden. Het bedrijf stelt dat gebruikers webtoegang via poort 80 voorlopig beter kunnen blokkeren in afwachting van de nieuwe firmware.

Alles bij de bron; Tweakers