1. Smart home-alarmsysteem

Een Smart Home-systeem van het Amerikaanse Comcast moest huizen voorzien van een alarmsysteem, maar dat systeem bleek eenvoudig te omzeilen. Beveiligingsbedrijf Rapid7 ontdekte dat je de 2,4 GHz-band kon storen, waarna het alarmsysteem contact verloor met zijn basisstation, In plaats van daar een melding van te geven, bleek het systeem niet op te merken dat er iets mis was en konden ramen en deuren worden geopend, zonder dat er een alarm afging. Het bedrijf reageerde niet op een melding van de beveiligers, waarna Rapid7 naar CERT stapte en de kwetsbaarheid openbaar maakte.

2. IoT-rookmelder

Nest bracht een rook- en koolstofmonoxidemelder op de markt, Nest Protect, met een opvallende feature/bug: de mogelijkheid om de melder te laten zwijgen door met je hand te zwaaien. Nest Wave kon echter ook per ongeluk worden geactiveerd, waardoor de gebruiker per ongeluk de melder kon uitschakelen. Erger nog, hij of zij zou niet weten dat de melder niet actief zou zijn. Toenmalige Nest-CEO liet in 2014 weten dit probleem in het lab te hebben opgemerkt en dat klanten geen hinder leken te hebben ondervonden. Uit voorzorg werd de verkoop tijdelijk stopgezet en de Wave-feature uit het apparaat gesloopt.

3. Slim deurslot

Een softwareontwikkelaar ging drie jaar geleden aan de slag met een slim deurslot van IoT-fabrikant August. Eigenaars konden mensen een tijdelijke digitale sleutel geven, wat handig is om bijvoorbeeld een Airbnb-woning beschikbaar te stellen zonder zelf aanwezig te zijn, maar door een fout in de software kon de hacker zelf een nieuwe sleutel genereren die ook nog eens geldig bleef nadat de eigenaar hem verwijderde. Het goede nieuws is dat August de fout razendsnel aanpakte toen de ontwikkelaar contact opnam en er geen verhalen bekend zijn van daadwerkelijke inbraken via het slot.

4. Nog een smart home-deurslot

Dit is bepaald geen incident, maar een structureel probleem, zo legt een informaticaprofessor aan de University of Michigan in onderstaande video uit. Hier gaat het om smart home-systeem SmartThings van Samsung. Onderzoekers konden een kwetsbaarheid in de SmartThings-webserver misbruiken, waardoor een aanvaller de tokens kon bemachtigen van een gebruiker die inlogt op de cloudportal. De aanvaller kon vervolgens een eigen pincode toevoegen om de deur te openen. Behalve deze wel heel kwalijke methode, vonden onderzoekers nog drie andere kwetsbaarheden in SmartThings.

5. Internetverbonden babyfoon

Een babyfoon van Foscam bleek kwetsbaar genoeg te zijn dat aanvallers hun lol niet op konden met het schreeuwen naar slapende baby's die zich samen met ouders wild schrokken. De IP-babyfoon met camera werd gepatcht met een firmware-update, maar ook daarna bleef het probleem zich voordoen, waarschijnlijk omdat gebruikers van eerder gekochte internetverbonden babyfoons het apparaat niet regelmatig updaten.

6. Sim hangslot

Een leverancier van een slim hangslot bleek een lekkende API-server te hebben, waardoor een aanvaller adressen en bijbehorende ontgrendelcodes die je via Bluetooth activeert kon bemachtigen. Niet alleen aan de softwarekant waren er pijnlijke kwetsbaarheden, maar ook de hardware liet te wensen over. De achterkant van het slimme slot bevatte twee schroeven die je kon losdraaien om het hele slot uit elkaar te halen.

7. Amazon Key

Toen dit werd aangekondigd, was een veelgehoord sentiment: wat kan daar nou misgaan? Amazon kwam met een feature waarmee een pakketjesbezorger zichzelf toegang kan verschaffen tot jouw woning om een pakje achter te laten. Wel met privacybescherming: de camera ging direct aan, zodat je een bezorger kon zien binnenkomen en vertrekken. De verbazing was niet zo heel groot toen later bleek dat een bezorger deze feature kon omzeilen, kon 'vertrekken', de cameraopname kon pauzeren en zijn gang kon gaan in de woning.