Op security.nl, een site met computerbeveiligingsnieuws, staat te lezen dat het Duitse onafhankelijke IT-security instituut av-test.org zeven starterkits voor zogeheten Smart Homes getest heeft. Veel van die kits blijken allerlei fouten te bevatten zodat hackers toegang kunnen krijgen tot de systemen in je huis die je verwarming bedienen, je beveiligingsysteem, je licht en elektrische apparaten en webcams et cetera, oftewel alles wat er maar op je home-automation-systeem aangesloten is.
De volgende kits voor Smart Homes werden getest: iConnect van eSaver, tapHome van EUROiSTYLE, Gigaset Elements van Gigaset, iComfort van REV Ritter, RWE Smart Home van RWE, QIVICON van de Deutsche Telekom en XAVAX MAX! van Hama. Volgens de conclusie van av-test.org hadden vier van de zeven starterskits hun beveiliging niet op orde.
De iComfort en tapHome kits bleken niet te zijn beveiligd tegen aanvallen vanuit het lokale netwerk, terwijl de iConnect en XAVAX MAX! daarnaast ook kwetsbaar waren voor aanvallen van buitenaf. Volgens de onderzoekers zou een aanvaller dan de verwarming kunnen saboteren, zodat bijvoorbeeld waterleidingen in de winter kunnen kapotvriezen. Maar ook het uitschakelen van de beveiliging behoort tot de mogelijkheden.
De problemen zitten in de encryptie en authenticatie die de kits voor communicatie gebruiken. De iComfort blijkt geen enkele vorm van authenticatie te gebruiken. De iConnect en XAVAX MAX! gebruiken wel authenticatie, maar alleen voor gebruikers die via internet binnenkomen. Lokale gebruikers krijgen direct toegang. Alleen de Gigaset Elements, RWE Smart Home en QIVICON zijn goed beveiligd tegen aanvallers.
