Het aansluiten van Internet of Things-apparaten in huis, is als het spelen van Russisch roulette. Bijna een op de vier ‘connected’ apparaten voor thuisgebruik is niet goed beveiligd. Of er zitten fouten in de firmware, of de webportal om toegang tot het toestel te krijgen is niet veilig genoeg. Dat is de conclusie van onderzoekers van het Franse Eurecom en de Ruhr University in het Duitse Bochum. Zij hebben de firmware onderzocht van routers, modems, voip-telefoons, netwerkcamera’s en andere IoT-apparaten die via internet kunnen worden beheerd.
Geprobeerd werd om de beveiliging te ondermijnen door de firmware aan te passen met behulp van kwaadaardige software-updates, maar ook door de webportal van de toestellen aan te vallen. De portals werden blootgesteld aan veelvoorkomende aanvallen zoals XSS (cross-site scripting), CSRF (cross-site request forgery), SQL-injectie en RCE (remote code/command execution).
In totaal zijn 1925 firmware images onderzocht van 54 verschillende fabrikanten. Er werden meer dan 9200 kwetsbaarheden aangetroffen in 185 firmware images. Hoewel slechts 8 procent van de firmware php-code bevat in de beheersoftware of de portal, werd in 143 firmware images maar liefst 5000 XSS-lekken aangetroffen.
De studie lijkt te bevestigen wat ook vorige week tijdens Black Hat Europe naar voren kwam. Uit een onderzoek van InformationWeek en Darkreading bleek namelijk dat IT-professionals denken dat over twee jaar de beveiliging van IoT een topprioriteit zal zijn. Nu ligt die prioriteit nog vooral bij de beveiliging van applicaties en eindgebruikers.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.
Juridische vraag: Ik las dat in de VS een meneer aangeklaagd wordt voor handel in voorkennis, omdat hij op het dark web ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.