Het lek werd ontdekt door beveiligingsbedrijf Bitdefender, dat uit veiligheidsoverwegingen achterwege laat om welke slimme stopcontacten het precies gaat.
De slimme stopcontacten worden door gebruikers tussen een normaal stopcontact en een apparaat gezet, en met een app bestuurd en ingesteld. Zo kunnen gebruikers het ingeplugde apparaat via internet inschakelen, of via een schema.
Door een lek in de software van de stopcontacten is het mogelijk om via internet malware op de apparaatjes te installeren. Tot nu toe moesten hackers bij het kraken van zogenoemde Internet of Things-apparaten vaak zelf in de buurt zijn.
Botnet van stopcontacten
Dat maakt de kwetsbaarheid in potentie gevaarlijk. De stopcontacten hebben standaard namelijk een zwak wachtwoord, en versturen wifi-logingegevens onversleuteld.
Weet een kwaadwillende toegang te krijgen tot een stopcontact is toegang tot e-mailaccounts mogelijk, zolang gebruikers geen tweestaps-verificatie hebben ingesteld.
Een ingewikkeldere hack maakt het zelfs mogelijk om aanvallen op andere apparaten binnen hetzelfde netwerk uit te voeren. Zo zou een hacker via een slim stopcontact zelfs ongemerkt de controle over alla apparaten binnen hetzelfde wifi-netwerk kunnen overnemen. Dan ontstaat een zogenoemd botnet; een netwerk van computers waarmee bijvoorbeeld DDoS-aanvallen uitgevoerd kunnen worden.
Bitdefender zegt dat de bijbehorende app, beschikbaar voor zowel Android als iOS, op Android alleen meer dan 10.000 keer is gedownload. De fabrikant van de stopcontacten is op de hoogte gesteld, en zegt het lek in het derde kwartaal van dit jaar te repareren.