Die Schwachstelle betrifft die Gardyn-Home-Kit-Produktreihe – die Geräte-Firmware, die mobile App und die Cloud-Schnittstelle der vernetzten Heimgarten-Systeme. Der Kern des Problems: Die Verbindungszeichenfolge zum Azure-IoT-Hub, mit der sich ein Gerät bei der Cloud anmeldet, wird über eine ungesicherte HTTP-Verbindung heruntergeladen. Weil dieser Transport nicht verschlüsselt ist, kann ein Angreifer, der sich in den Datenverkehr einklinkt, die übertragenen Daten mitlesen und verändern – ein klassischer Man-in-the-Middle-Angriff. Auf diese Weise gelangt der Angreifer an die Zugangsdaten des Geräts und kann verwundbare Home-Kits übernehmen und fernsteuern. Betroffen sind Nutzer, deren Gerät die Anmeldedaten über diesen unsicheren Weg bezieht; besonders heikel ist die Lage in fremden oder unsicheren Netzwerken, in denen sich ein Mithörer leicht zwischen Gerät und Cloud platzieren kann.