Slänger du smarta glödlampor? De innehåller ditt wifi-lösenord

2019-01-31 10:18  
Lifx Mini är en av modellerna som lagrar ditt wifi-lösenord i klartext. Foto: Lifx

Många smarta glödlampor lagrar ditt wifi-lösenord i klartext. Med en bågfil och lite lödning går det enkelt att plocka fram för den som vill.

Artikeln har uppdaterats

Glödlampor av märkena Lifx, Tuya och Xiaomi-ägda Yeelight har bokstavligt talat sågats av bloggaren Limited Results.

Under de senaste månaderna har personen bakom bloggen dissekerat smarta lampor med en bågfil för att försöka se vilka hemligheter de döljer. Resultatet är, som väntat, nedslående.

Läs mer: Uppkopplade prylar i julklapp? Här är 5 tips för ett säkert smart hem

Genom att läsa av chipet i lamporna kunde Limited Results relativt enkelt plocka ut lösenorden till de wifi-nätverk som lamporna varit uppkopplade mot. Alla tre tillverkare lagrade lösenordet helt oskyddat och i klartext, och Lifx-lamporna hade dessutom privata krypteringsnycklar sparade i källkoden.

Säkerhetsutbildaren Karl Emil Nikka som driver Nikka Systems säger till Ny Teknik att man kan dra en lärdom av sårbarheterna: koppla inte upp smarta hem-produkter mot ditt vanliga nätverk.

– Det absolut viktigaste är att du inte ska ansluta dina lampor till ditt vanliga wifi, utan använda gästnätverket för att koppla upp den här typen av produkter. Även om det kanske är osannolikt att någon skulle öppna upp en lampa du slängt finns det ofta andra sårbarheter i sådana här produkter, så vi kan inte lita på att de ska hantera våra inloggningsuppgifter på ett säkert sätt, säger Karl Emil Nikka.

Han rekommenderar även att välja lampor som kopplar upp sig via zigbee eller z-wave istället för wifi, och att sedan ansluta dessa till en controller. Fler tips på hur du kan säkra ditt smarta hem kan du läsa i Ny Tekniks guide här.

Här är lamporna som Limited Results testade, flera av dem går att köpa i svenska nätbutiker:

  • Lifx Mini White
  • Tuya Lyasi
  • Tuya Fcmilia
  • Xiaomi Yeelight Smart LED Bulb

Uppdatering: Lifx och Tuya säger att de åtgärdat problemet, och att wifi-lösenordet inte längre lagras i klartext. För att åtgärda detta ska du gå in i lampornas mobilapp och uppdatera mjukvaran på lamporna.

Läs mer: ”Donald” ett av årets sämsta lösenord

Risken är stor för att andra lampor från tillverkarna använder samma lösning för att lagra information om wifi-nätverk.

Så tänk på det nästa gång du slänger en uttjänt fjärrstyrd glödlampa. Vill du ta det säkra föra det osäkra gäller det att demolera chipet ordentligt innan du kör iväg till återvinningen.

Simon Campanello

Mer om: IOT Smarta hem

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt