De Britse beveiligingsonderzoeker Ken Munro nam de proef op de som en ging al eens aan het wardriven op zoek naar waterkokers die aan het internet zijn verbonden. Die broadcasten standaard het SSID 'iKettle' dus het was relatief simpel om ze te ontdekken. Hij bewees op deze manier dat ongeconfigureerde waterkokers met gemak over te nemen zijn.

Gebrekkige PIN-beveiliging

Deze keer bleef Munro lekker thuis, zo meldt The Register. Hij zette social media in om gebruikers op te sporen, die bijvoorbeeld tweeten naar @wifikettle. Het is niet ingewikkeld om het thuisadres van deze gebruikers te achterhalen, omdat mensen die op verschillende sites publiceren. (Ook kun je de locatiefeature vaak gebruiken en dan in de buurt op zoek gaan naar het SSID om het exacte adres te vinden.)

De pincode waarmee de app verbindt naar het WiFi-netwerk is binnen enkele uren te bruteforcen, omdat de app 34 pogingen per seconde toestaat omdat er geen beveiliging tegen bruteforce-aanvallen. Zo zijn de zes cijfers binnen vier uur te achterhalen. Bij de Android-app is de standaardcode zelfs 000000 - de gebruiker moet daar de pincode zelf wijzigen.