Josh Hendrickson/Review GeekNog maar een paar jaar geleden was Nexx een van de meest populaire merken van slimme garagecontrollers. Maar de dingen zijn veranderd. Nexx krijgt tegenwoordig niet veel aandacht. En vanwege nieuw ontdekte kwetsbaarheden moeten overgebleven klanten hun Nexx-apparaten loskoppelen en een ander merk overwegen.
Beveiligingsonderzoeker Sam Sabetan ontdekte “een reeks kritieke kwetsbaarheden” die van invloed is op alle Nexx smart home-producten (garagedeuropeners, slimme stekkers – alles). Deze kwetsbaarheden, waaraan al CVE's zijn toegewezen, zijn het resultaat van een groot beveiligingstoezicht in de MQTT-implementatie van Nexx; elk Nexx-apparaat gebruikt hetzelfde wachtwoord om verbinding te maken met de Nexx-cloudservers.
Wat erger is, dit wachtwoord is vrij beschikbaar in de Nexx app API (en het is online gepubliceerd). Iedereen kan dit wachtwoord gebruiken om op afstand controle te krijgen over een Nexx smart-product. Dus als uw garagedeur wordt bestuurd via Nexx, wees dan niet verbaasd als deze willekeurig begint te openen en te sluiten.
Als een hacker de MQTT-kwetsbaarheid van Nexx volledig benut, ze kunnen de persoonlijke informatie van alle Nexx-accounthouders ophalen. Deze persoonlijke gegevens omvatten apparaat-ID's, voornamen en e-mailadressen. Het is dus heel gemakkelijk voor hackers om zich op specifieke personen te richten.
“Nexx heeft niet gereageerd op correspondentie van mijzelf, DHS (CISA en US-CERT) of VICE Media Group. Ik heb onafhankelijk geverifieerd dat Nexx doelbewust al onze pogingen om te helpen bij het herstel heeft genegeerd en dat deze kritieke tekortkomingen hun klanten blijven treffen.” – Sam Sabetan
Nexx had deze kwetsbaarheid zelf moeten herkennen. Maar wat nog belangrijker is, het had moeten reageren op e-mails van Sabetan, Homeland Security en VICE. Het bedrijf vermeed opzettelijk correspondentie en daarom zouden alle overgebleven Nexx-klanten moeten overwegen om over te stappen naar een nieuw merk. (Voor wat het waard is, de aanwezigheid van Nexx op sociale media is sinds 2020 praktisch onbestaande en Sabetan ontdekte dat het bedrijf slechts ongeveer 20.000 actieve gebruikers heeft. Nexx lijkt niet in geweldige gezondheid.)
GERELATEERDWaarom Review Geek kan We raden Wyze- of Eufy-camera's niet meer aan
Zelfs als deze problemen zijn opgelost, kan Review Geek geen smart home-bedrijf aanbevelen dat opzettelijk de privacy, beveiliging en veiligheid van zijn klanten verwaarloost. We hebben alle eerdere berichtgeving over Nexx herzien (waarvan er zeer weinig is) om het verhaal van vandaag aan te pakken.
Nexx heeft geen reactie op dit verhaal gepubliceerd. We hebben contact opgenomen met het bedrijf voor een reactie. U kunt het volledige beveiligingsrapport van Sam Sabetan lezen op Medium.
Bron: Sam Sabetan