Een alarmsysteem van het Duitse merk ABUS is door een kwetsbaarheid op afstand uit te schakelen. Ook kan een aanvaller met de beveiligingscamera’s meekijken. De fabrikant kwam in januari met een firmware-update, maar zowel klanten als installateurs weten niet dat die beschikbaar is. Daardoor lopen bijna driehonderd huizen en bedrijven in Nederland risico, zo meldt RTL Nieuws op basis van eigen onderzoek.

Het beveiligingsprobleem was aanwezig in het Secvest-alarmsysteem van ABUS. Via internet blijkt het eenvoudig om kwetsbare alarmsystemen te achterhalen. Naast namen van de eigenaren tonen de systemen ip-adressen en soms ook woonadressen. ABUS werd begin november over de kwetsbaarheid ingelicht en bracht op 22 januari van dit jaar een firmware-update uit. In de release notes wordt echter nergens melding gemaakt van het verholpen beveiligingslek (pdf).

ABUS laat in een reactie aan RTL Nieuws weten dat “enkele installateurs” de informatie over de beschikbare firmware-update niet hebben ontvangen. Het bedrijf zegt vandaag opnieuw te beginnen met het communiceren over de update en dat het partners gericht zal informeren. Details over de onderliggende kwetsbaarheid waardoor het alarmsysteem kan worden aangevallen zijn niet openbaar gemaakt.

Source