Cuidado com a sua estação meteorológica pessoal Netatmo
Com tanta tecnologia que por aí anda, hoje em dia até podemos ter uma autêntica estação meteorológica inteligente na nossa casa. Um dos equipamentos mais populares nesta área é a sem dúvida a estação Netatmo que oferece um conjunto muito interessante de informações e tem uma vasta comunidade ao nível mundial.
Mas, de acordo com uma descoberta recente, estas estações enviam as passwords das redes wifi onde estão ligadas para os serviços da empresa.
Para quem não conhece, as estações meteorológicas da Netatmo permitem que o utilizador tenha no seu dispositivo móvel a informação sobre as condições climatéricas. Além disso, em ambientes indoor, este equipamento pode avaliar a qualidade do ar, o Co2, temperatura, humidade e até o ruído. Os utilizador podem consultar a qualquer momento a informação e também partilhá-la (a imagem seguinte mostra a quantidade de equipamentos que existem em Portugal instalados – podem ver aqui).
No entanto, funcionalidades à parte, Johannes Ullrich da SANS Internet Storm Center, descobriu que estes equipamentos enviam para o serviço da empresa, o Mac Address do equipamento, o SSID e até a password da rede. A informação é ainda transmitida na rede sem qualquer codificação.
So what happened? After looking at the full capture of the data, I found that indeed the weather station sent my password to “the cloud”, along with some other data. The data include the weather stations MAC address, the SSID of the WiFi network, and some hex encoded snippets.
Not only should data like this not be transmitted “in the clear”, but in addition, there is no need for Netatmo to know the WPA password for my network.
Resultado do processo de sniffing
[**] [1:1000284:0] WPA PSK Passphrase Leak [**] [Priority: 0] {TCP} a.b.c.d:21908 -> 195.154.176.41:25050
alert ip any any -> any any ( sid: 1000284; msg: "WPA PSK Passphrase Leak"; content: "[Iamnotgoingtotellyou]"; )
Depois de contactar a Netatmo, a empresa garantiu ao investigador que irá lançar recentemente uma actualização do firmware para remover tal “bug”.
Este artigo tem mais de um ano
Bugs dizem eles… se está num produto comercial á parte de o director saber ou não, não é um bug, é uma feature, e há leis a respeitar, caso este aspecto não esteja claramente descrito no acordo de uso do serviço a empresa pode ser processada.
Ira lançar recentemente?
Ha sempre bugs em tudo, nao batam no zezinho so. Tenho esta estacao e posso dizer que é Sem duvida a que tem melhor relacao qualidade/ preco. Vou interligar com o Termoestato da Netatmo e as respectivas smartvalves. Este ultimo add-on da 15 a 0 ao Nest e Ecobee que nao percebo a filosofia de ligar e desligar caldeira apenas sem individualizar.
Comecei com a estacao Meteorologica da Netatmo. Hoje tenho todos os produtos deles. Simplesmente do melhor que se faz em IoT/Domotica. Desde do design, aos materiais (os interiores são de aço escovado), a App, ao Website, so SDK de dev, ao suporte IFTTT, Openhab, Homeassistant, ate na electronica (vejam o diassembly e os respectivos comentários) só consigo dizer bem. . É talvez a empresa com o maior cuidado end-to-end em tudo o que faz. A milhas de distancia das Fibaros, Eves, Nest, Xiaomi home . Top of the pops !! Não é por acaso que neste momento “so” estao a desenvolver a componente domotica da Legrand (Celiane), da Velux (by Netatmo), da Vaillant….