Veiligheid "zoals bij banken"...
Vroeger stond er op de website dat de veiligheid is geregeld 'zoals bij banken'. Ik denk dat daarmee bedoeld werd dat de verbinding tussen de thermostaat en de cloud servers een https verbinding is. Op dit moment kan ik deze claim op de website niet meer terugvinden.
Vandaag was de hele boel een paar uur plat, en toen ik dat aan het onderzoeken was zag ik dat het certificaat waarmee de verbinding met de thermostaten beveiligd is al op 24 februari 2020 verlopen is en sindsdien kennelijk niet verlengd. Eerst dacht ik "ze hebben een oude backup terug gezet, komt zo wel weer goed" maar nu de verbinding weer werkt staat nog steeds dat oude certificaat er. De thermostaat controleert dat kennelijk niet, want die heeft gewoon verbinding.
Niet zo'n beste beurt van Tado...
verify error:num=10:certificate has expired
notAfter=Feb 24 17:04:47 2020 GMT
Reacties
-
Zelfde met api key. Wat is je punt?0
-
Als het certificaat niet gecontroleerd wordt is de verbinding niet veilig. Dat betekent dat kwaadwillenden mee kunnen kijken en wellicht aanpassingen kunnen doen in de gegevens die jouw thermostaat uitwisselt met Tado.
0 -
Als de TLS handshake onderschept kan worden en de symmetrische sleutel dus afgeluisterd is, dan wel ja. Verder maakt het geen biet uit. Alleen als het cert gebruikt wordt voor authenticatie ('praat ik wel met de juiste partij?') moet geldigheid gecontroleerd worden. Gelukkig gebeurt dat niet, anders was de hele boel omgedonderd in feb 2020.
Verder weet ik niet zo veel van PKI 😇0 -
Dat blijkt wel, ja... als het certificaat niet gecontroleerd wordt (en dat kun je wel vermoeden gezien de huidige situatie) dan kan iemand die ergens je internet verbinding kan onderbreken daar tussen gaan zitten met een systeem wat de thermostaat laat geloven met Tado te praten, en dan zeggen "ga maar op 25 graden" ofzo. Misschien zelfs wel firmware updates sturen als die ook niet goed met certificaten beveiligd zijn.
Niet dat dat in een gebruikelijke Nederlandse internet situatie erg voor de hand ligt, maar zeg dan ook niet dat het veilig is.
0 -
Je snapt het echt niet. Geeft niks. Controle op geldigheid van cert geeft alleen aan dat een uitgevende instantie vindt dat de partij in de Subject ook die partij is. Issues met onderschepping zijn er alleen als de private key achterhaald is. Authenticatie (met bearer token na login) is wat anders dan encryptie.0
-
Nee ECHT, Andre, ik weet PRECIES hoe het werkt en wat de functie is van het certificaat. En ik heb het niet over de computer of app, maar over de bridge/thermostaat.
-1 -
niet. maar jij je zin, robbie. je hebt gelijk0
