trane
Dags att uppdatera mjukvaran om du har en sådan här hemma. Bild: Trane.

Internet of things pekas ständigt ut som en ömmande säkerhetsrisk, och företaget Tranes smarta termostater är ett klockrent exempel på varför. Det tog nästan två år från att Cisco anmälde flera allvarliga säkerhetsbrister till att Trane åtgärdade dem.

Bristerna upptäcktes i Comfort Link II, ett system för att hålla koll på innetemperaturen som styrs via en kontrollenhet som det går att koppla upp sig mot från mobilen.

I april 2013 meddelade Cisco att de hittat tre allvarliga brister i Comfort Link. Med hjälp av bland annat ett par hårdkodade lösenord kunde en angripare ta kontroll över termostaten, köra kod på enheten och till och med få åtkomst till det lokala nätverket den var uppkopplad mot. Efter ett drygt år åtgärdade Trane två av bristerna, den tredje löste de först i slutet av januari 2016.

Läs också: Den är sårbar och alltid påslagen – din tv är hackarnas nya mål

”Även om IoT-enheter som smarta termostater, belysning och säkerhetssystem göra våra liv lite mer bekväma, visar sådana här sårbarheter på riskerna i osäkra utvecklingsrutiner”, skriver säkerhetsforskaren Alex Chiu på Cisco i ett blogginlägg.

Under de två år som gått har Ciscos säkerhetsdivision Talos legat på Trane och upprepade gånger bett dem åtgärda bristerna. Nu när uppdateringarna väl är i det fria och Cisco får ta bladet från munnen har företagets säkerhetsexpert en lätt uppgiven ton.

”Den trista verkligheten är att säkerheten hos uppkopplade enheter inte alltid är någon hög prioritet för återförsäljare och tillverkare", konstaterar Alex Chiu.

Han har inte heller kunnat hitta några indikationer på att Trane informerat sina kunder om bristerna. IDG News har sökt företaget för en kommentar, men inte fått något svar.

Läs också: Lätt att hacka många vanliga uppkopplade prylar visar ny studie

Har du ett Comfort Link-system hemma är det dags att uppdatera mjukvaran till 4.0.3 för att undvika ovälkomna gäster.