Hackers gijzelen slimme thermostaten: betalen of zweten

Zelfs met onze matige Nederlandse zomers is het niet fijn als de thermostaat helemaal naar boven wordt gedraaid. Het is zelfs zo vervelend dat hackers denken dat mensen graag betalen om het weer ongedaan te maken. Daarom ontwikkelden twee hackers ransomware (de officiële naam voor gijzelvirussen) voor slimme thermostaten, die het apparaat gijzelen en de temperatuur omhoog krikken - zonder dat je er iets aan kunt doen.

Gelukkig hebben Andrew Tierney and Ken Munro niet de intentie om de ransomware te verspreiden, maar presenteerden ze hun aanval tijdens de hackersconferentie Def Con in Las Vegas. Welke thermostaat ze hebben gehackt, is niet bekend. Maar het is ze gelukt om het apparaat te gijzelen en de temperatuur pas weer te verlagen als het slachtoffer een bitcoin ter waarde van ongeveer 500 euro betaalde. 

De slimme thermostaat in kwestie heeft een ingang voor sd-kaartjes, waarmee de hackers de ransomware automatisch konden laten installeren. Met een sd-kaartje worden onder andere firmware-updates geïnstalleerd en kan de eigenaar zelf een achtergrond instellen. Door het slachtoffer een malafide updatebestand of wallpaper te laten downloaden, kan de ransomware de thermostaat al overnemen zodra het sd-kaartje in het apparaat werd gestopt.

Gevaren

Munro, die eerder ontdekte dat slimme koelkasten van Samsung Gmail-wachtwoorden lekten, zegt dat zo'n aanval op allerlei apparaten mogelijk is. Het is één van de grootste gevaren van het 'internet of things': apparaten in het huis die met het internet zijn verbonden.

Van slimme sloten en beveiligingscamera's tot slimme koelkasten en wasmachines: elk apparaat dat met het internet is verbonden, kan door hackers worden overgenomen. Daarnaast kunnen hackers via zo'n slim apparaat toegang krijgen tot andere apparaten in het netwerk, zoals je smartphone of laptop. "Je koopt niet alleen slimme apparaten", zegt Tierney. "Je nodigt ook gelijk mensen uit op je netwerk en je hebt geen idee wat al deze dingen precies doen."