Door een lek in een alarmsysteem is het voor criminelen mogelijk om alarmsirenes op afstand uit of aan te zetten, mee te gluren met camera's of het systeem helemaal uit te schakelen. Dat blijkt uit onderzoek van RTL Nieuws. Bijna 300 huizen en bedrijven in Nederland zijn kwetsbaar.
Het gaat om het alarmsysteem Secvest van het Duitse merk ABUS, in Nederland vooral bekend van zijn fietsensloten. Het alarmsysteem is direct door klanten te kopen, maar wordt ook geïnstalleerd door professionele beveiligingsbedrijven.
Niels Teusink, onderzoeker bij cybersecuritybedrijf EYE, ontdekte het lek. Hij laat zien hoe makkelijk hij toegang krijgt tot de alarmsystemen:
Alarmsysteem kwetsbaar: 'Ik kan meekijken op camera's'
In heel Europa zijn er meer dan 10.000 van dit soort alarmsystemen aangesloten op het internet. Het alarmsysteem is optioneel uit te breiden met bijvoorbeeld camera's.
Een oplossing voor het probleem blijkt al maanden beschikbaar te zijn voor klanten, met een software-update. Maar meerdere klanten en installatiebedrijven die wij spraken, bleken niet eens te weten dat deze update sinds januari beschikbaar was. En dat er überhaupt een veiligheidsissue was dat hiermee werd opgelost, maakte de fabrikant niet algemeen bekend.
Eenvoudig te vinden
Waar de kwetsbare alarmsystemen hangen, blijkt relatief eenvoudig via internet te achterhalen. Naast namen van de eigenaren, tonen de systemen ip-adressen en soms ook woonadressen. Daardoor weten criminelen precies waar ze moeten zijn. "Dit is alles wat een inbreker nodig heeft", vertelt cyberdeskundige Niels Teusink, die het lek eind vorig jaar ontdekte en bij ABUS meldde.
"Je weet waar mensen wonen, kan in het systeem zien wanneer mensen vaak niet thuis zijn en vervolgens live checken op de camerabeelden wat voor dure spullen er in huis staan en of iemand überhaupt thuis is. En als klap op de vuurpijl zet je het alarm uit voordat je inbreekt. Terwijl je dit doet, kan je het zo aanpakken dat in de app alles in orde lijkt."
Via dit alarmsysteem is het normaal gesproken mogelijk voor de eigenaar om op afstand de woning in de gaten te houden, door middel van de aangesloten camera's die je los kan kopen.
Maar met deze kwetsbaarheid is het in sommige gevallen voor criminelen mogelijk om zo'n camera voor de gek te houden, door bijvoorbeeld oude beelden te laten zien in plaats van livebeeld. Dan ziet het slachtoffer op afstand dus een woonkamer die er normaal uitziet, terwijl er op dat moment een inbreker door het huis loopt.
'Je verwacht zoiets niet'
RTL Nieuws sprak een aantal gedupeerden. Die vonden het opmerkelijk, omdat zij niks van ABUS zelf hadden gehoord van dit veiligheidsrisico. "Het is niet zo dat ik iets heb gekocht bij AliExpress", vertelt een gedupeerde. "Dit is gewoon een gerenommeerd merk, dus dan verwacht je zoiets eigenlijk niet."
Een andere gedupeerde vertelt: "Ik schrik van de kwetsbaarheid. Ik wist niet dat er een belangrijke update beschikbaar was."
RTL Nieuws nam ook contact op met meerdere verkooppunten van deze alarmsystemen. Die gaven ook aan dat zij niet door ABUS over dit beveiligingslek of over de update zijn geïnformeerd.
Teusink stelde de maker van het alarmsysteem al begin november op de hoogte van dit lek. Later die maand bevestigde ABUS aan hem dat het systeem inderdaad lek was. Op 22 januari rolde ABUS een update voor het alarmsysteem uit, die ook dit beveiligingslek dichtte.
Maar bij gebruikers maakte het bedrijf geen melding over het lek. Ook in de updatetekst staat niets vermeld over een beveiligingslek dat met deze update wordt opgelost.
Geen schoonheidsprijs
Mogelijk ontbreekt daardoor de urgentie bij de gebruikers en de beveiligingsbedrijven die deze systemen hebben geïnstalleerd. "Het zou goed zijn als er een melding zou komen in de app op je telefoon, dat er een update is. Of nog beter, op het paneel van het alarm zelf. Daar kijk ik iedere dag tegenaan als ik het systeem aanzet, dan had ik het meteen gezien", aldus een van de klanten.
Op moment van schrijven zijn er in Nederland nog bijna 300 systemen in gebruik die deze update niet hebben, en dus kwetsbaar zijn voor dit lek. "Die drie maanden voor het dichten van het lek, dat verdient geen schoonheidsprijs, maar dat komt vaker voor. Ik denk wel dat ABUS wat steken heeft laten vallen in de communicatie hierover", zegt Teusink.
Nalatigheid van fabrikant
Die conclusie trekt ook de Consumentenbond: het is volgens woordvoerder Gerard Spierenburg een 'nalatigheid van de fabrikant': "Er is hier een product in de markt, dat ernstige kwetsbaarheden bevat. Dan kun je als fabrikant niet stil blijven. Je moet je klanten hierover informeren. Dat ze dat niet hebben gedaan, is hen aan te rekenen.”
Op dit moment zijn er nog geen aanwijzingen dat het lek actief is of wordt misbruikt. Maar omdat de kwetsbaarheid volgens Teusink vrij gemakkelijk te misbruiken is, is het belangrijk dat eigenaren weten dat ze hun alarmsysteem zo spoedig mogelijk moeten updaten. "Het is sowieso verstandig dat mensen met slimme alarmsystemen in huis ook zelf actief blijven checken of er updates beschikbaar zijn", zegt Teusink.
Reactie ABUS
RTL Nieuws legde de conclusies van ons onderzoek voor aan ABUS voor een reactie. Daarin werd onder andere de vraag gesteld waarom ABUS niet aan haar klanten heeft gecommuniceerd dat de software-update van januari een belangrijk veiligheidslek dichtte. Een duidelijk antwoord op deze vraag kregen we niet, ondanks meerdere verzoeken.
De volledige reactie van ABUS die wij gisteren ontvingen:
"Wij willen u bedanken dat u ons de tijd heeft gegeven om te antwoorden, dit heeft ons de gelegenheid gegeven om de zaak in detail te onderzoeken. Wij willen u graag op de hoogte brengen van het resultaat.
In januari hebben we een firmware-update aangeboden die de genoemde punten oplost. Wij moesten echter constateren dat enkele van onze installateurs deze informatie over de beschikbare release niet hebben ontvangen. Wij zullen vandaag opnieuw beginnen te communiceren en onze partners gericht informeren."
Voorafgaand aan publicatie hebben wij ABUS 72 uur gegeven voor een reactie, zodat zij de gebruikers van het alarmsysteem konden informeren over het beveiligingslek.
