Veel IoT-apparaten missen basale privacybescherming
Veel Internet of Things-apparaten missen basale beveiligings- en privacymaatregelen, delen informatie met derde partijen en maken het mogelijk om het gedrag van gebruikers af te leiden, zo blijkt uit onderzoek van de Princeton University. De onderzoekers zijn een grootschalig onderzoek naar de privacy en digitale veiligheid van IoT-apparatuur gestart en de eerste resultaten zijn niet bemoedigend.
Zo blijkt dat de meeste onderzochte IoT-apparaten basale versleuteling en authenticatie missen. Een slimme bloeddrukmeter van Withings blijkt bijvoorbeeld verzoeken onversleuteld te versturen, waardoor een aanvaller kan achterhalen dat iemand een bloeddrukmeter bezit en hoe vaak die wordt gebruikt. Informatie die via het gebruik van encryptie kan worden afgeschermd. Ook het onderzochte IoT-speelgoed blijkt geen gebruik van versleutelde verbindingen te maken.
Wanneer het verkeer van de IoT-apparaten wel wordt versleuteld is het mogelijk om aan de hand hiervan het gebruikersgedrag af te leiden. Het verkeer van een slaapmonitor laat bijvoorbeeld de slaappatronen van de gebruiker zien, terwijl een slim stopcontact laat zien wanneer er apparatuur in de woning wordt gebruikt. De onderzoekers zijn nu bezig om obfuscatietechnieken te ontwikkelen om ervoor te zorgen dat het gedrag van gebruikers niet via netwerkmetadata is af te leiden.
Een andere constatering die de onderzoekers deden is dat veel IoT-apparaten met de servers van derde partijen communiceren. Iets wat gebruikers vaak niet weten. Zo maakt de onderzochte Samsung Smart TV een minuut na het aanzetten verbinding met Google Play, Double Click, Netflix, FandangoNOW, Spotify, CBS, MSNBC, NFL, Deezer en Facebook, ook al hebben de onderzoekers geen account bij deze diensten aangemaakt en probeerden ze er ook niet in te loggen.
"Een derde partij kan gebruikersdata van een groot aantal apparaten verzamelen, waardoor het mogelijk wordt om het gedrag van een gebruiker over allerlei apparaten te volgen", zo waarschuwen de onderzoekers. Als onderdeel van het onderzoek werden meer dan 50 IoT-apparaten geanalyseerd, maar het is de bedoeling dat het aantal wordt uitgebreid. Zo kunnen mensen via deze website zelf IoT-apparaten aandragen waar ze zich zorgen over maken die de onderzoekers dan mogelijk gaan onderzoeken.
Echter, het voorbeeld van de Samsung Smart TV is nog weer een andere categorie: ingebouwde spyware / calling home door een A merk naar commerciële partijen waar de klant geen weet van heeft of waar de klant geen toestemming voor gevraagd is. Wat zou het NL kabinet hierover willen afspreken in EU verband in haar roadmap? Ik kan het niet zo gauw vinden...
https://www.security.nl/posting/559467/Kabinet+presenteert+aanpak+om+Internet+of+Things+te+beveiligen
https://blog.networking4all.com/2018/04/internet-of-things-apparaten-laten-deuren-wagenwijd-open-staan/
Niet automatisch updaten in zo 2001.
En ondertussen lachen fabrikanten zich helemaal kapot: consumenten betalen je voor een product waarmee je ze niet alleen in de gaten kan houden maar je ook nog eens rijk wordt van de data die jouw kant op komt.
Wat zijn consumenten toch dom.
IPv6 is niet het probleem hier.
Er is geen geïntegreerde tunnel functionaliteit in IPv6. Er zijn wel (tijdelijke) transitie-technieken zoals Teredo die gescheiden IPv6-werelden via de IPv4-wereld met elkaar kunnen laten communiceren. Daar is de goede beheerder zich van bewust. Hij/zij kan het blokkeren, of zorgen voor native IPv6 zodat er geen Teredo nodig is. Enz.
IPv6 is (nog) niet mislukt. Miljoenen consumenten gebruiken het. En er zijn miljoenen websites via IPv6 bereikbaar.
Het is dus onzinnig om IPv6 te betrekken bij deze IOT-problematiek.
En ondertussen lachen fabrikanten zich helemaal kapot: consumenten betalen je voor een product waarmee je ze niet alleen in de gaten kan houden maar je ook nog eens rijk wordt van de data die jouw kant op komt.
Wat zijn consumenten toch dom.
En hier vooral klagen over de Microsoft producten... Maar moet je eens bij de concurenten kijken...
Als bij Microsoft dit soort zaken gebeuren is de wereld te klein, maar bij andere leverancier wordt het soort van geaccepteerd want we willen de functionaliteit.
In Nederland heeft de overgrote meerderheid van de huishoudens zo'n apparaat in huis. Ze kunnen er zelf niets op aanpassen en het logt elke 15 minuten gegevens dat wordt verzameld en gedeeld met elk commercieel bedrijf dat zelf aangeeft. Het apparaat heet slimme meter, maar het is alleen slim voor de eigenaar: de netbeheerder. Die wil rijk worden aan tarievendifferentiatie en vraagt aan consumenten om minder op te wekken en zelf voor opslag te zorgen. Ok, het apparaat hangt niet direct aan Internet, maar de servers met alle data wel.
En ondertussen lachen fabrikanten zich helemaal kapot: consumenten betalen je voor een product waarmee je ze niet alleen in de gaten kan houden maar je ook nog eens rijk wordt van de data die jouw kant op komt.
Wat zijn consumenten toch dom.
IPv6 devices horen ook gewoon achter een firewall te zitten, net als IPv4 devices.
Daarnaast dien je niet alleen te vertrouwen op je firewall maar ook je services zo in te richten en te beveiligen dat bij het wegvallen van je firewall je service toch voldoende afgezekerd is. Dus sterke wachtwoorden voor die service of certificaat/key's gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.