image

Consumentenbond: IoT-fabrikanten laks met beveiligingsupdates

dinsdag 4 februari 2020, 11:05 door Redactie, 13 reacties

Fabrikanten van Internet of Things-apparaten zijn laks met het uitbrengen van beveiligingsupdates om kwetsbaarheden te verhelpen, zo stelt de Consumentenbond op basis van eigen onderzoek. Voor het onderzoek werd de veiligheid van tien verschillende producten getest, waaronder gps-horloges, wifi-printers en babycamera's. In totaal werden in de producten 27 kwetsbaarheden aangetroffen.

De gevonden beveiligingslekken werden vervolgens aan de betreffende fabrikanten gemeld. In twaalf gevallen werden de problemen door de fabrikant ontkend, weigerden ze actie te ondernemen of reageerden ze helemaal niet. Van de veertien ernstige kwetsbaarheden werden er uiteindelijk negen verholpen. Verder blijkt dat de meeste fabrikanten niet vooraf laten weten hoelang hun producten updates blijven ontvangen. Van de vijftig onderzochte fabrikanten werd dit door slechts drie partijen gedaan.

"Fabrikanten vinden de veiligheid van hun producten niet belangrijk genoeg. Dat is de pijnlijke conclusie die we op basis van dit rapport moeten trekken. Daar moet verandering in komen. Onder andere door minimale veiligheidseisen te stellen waar producten aan moeten voldoen", stelt Sandra Molenaar, directeur Consumentenbond. Volgens Molenaar moeten fabrikanten worden verplicht om hun producten gedurende de hele gebruiksduur van updates te voorzien. "Ook moeten ze hun klanten actief informeren over kwetsbaarheden in hun producten."

Tevens vindt Molenaar dat onveilige producten van de markt moeten worden gehaald. Twee van de geteste producten die kwetsbaarheden bevatten werden door Bol.com aangeboden. Het gaat om de Sannce Smart Babyfoon met camera en de Svakom Siime Eye vibrator, met wifi en camera. De babyfoon is op afstand te compromitteren en de wifi-zender van de vibrator heeft een herkenbare naam en een standaardwachtwoord dat voor alle apparaten hetzelfde is. Na melding van de Consumentenbond heeft Bol.com aangegeven dat het beide producten uit de handel neemt.

Reacties (13)
04-02-2020, 12:34 door Anoniem
Tja... Leveranciers moeten inderdaad update maken.

Echter de consument kiest bijna altijd het goedkoopste product.
En installeert de consument de updates wel? Er zijn voor veel consumenten producten gewoon updates, maar die worden nooit geïnstalleerd.

https://www.security.nl/posting/642227/Overheid+start+campagne+voor+het+updaten+van+IoT-apparaten
04-02-2020, 12:45 door Anoniem
Begin nou gewoon eens met het aanvalsoppervlak drastisch te verkleinen. Mijn koelkast hoeft echt niet zelf voer te bestellen en de kachel kan ik ook wel bedienen als ik thuis ben.
04-02-2020, 13:02 door Anoniem
Mooi dat dit door de Consumentenbond onder de aandacht is gebracht. En hiermee wordt ook meteen het grootste probleem van IoT-apparaten aan het licht gebracht. Sommige mensen hier roepen dat het aan de software ligt die de makers van het apparaat erop plempen, maar dat is véél te kort door de bocht en klopt van geen kant. Vaak worden deze devices voorzien van Linux, maar ook even zo vaak met een legacy versie die al jaren niet meer voorzien wordt van updates en hopeloos out-of-date zijn. Ik heb ze zelfs gezien die draaiden op een 2.6 kernel, en die branche wordt al járen niet meer ondersteund. Dat is vragen om problemen.

Het is dus niet de software die schuldig is, maar de bouwers van de hardware. Zouden zij een actuele(re) kernel nemen die nog actief onderhouden wordt, dan ben je goed bezig en is het uitrollen van updates niet zo'n probleem. Maar ja... dat is de focus van die IoT-devicebouwers helemaal niet. Die willen poen verdienen op een makkelijke manier. De markt wordt dus ook overspoeld met dergelijke apparatuur, en dat is kwalijk. Jammer is wel dat meteen het vingertje wordt gewezen naar Linux en open source. In die hoek is bekend dat het updatesysteem zwaar deugt, maar dan moet je wel gesupporte systemen op je devices installeren.

Voor wat betreft de bedrijven die zich schandalig gedragen en niks doen aan veiligheid van hun producten: ik zou de schandpaal maar weer invoeren. Naming-and-shaming, zodat we de keuze kunnen maken om met een grote boog om de producten van deze fabrikanten heen te lopen. En dat er ook printerfabrikanten bij dit lijstje zitten verbaast me niks. De hele printerbranche is door-en-door verrot, en zijn alleen maar uit op het maximaliseren van hun winsten. En dat ten koste van de consument. Hun verdienmodel is al té schandalig voor woorden (verdiep je er maar eens in zodat je weet wat ik bedoel), en nu wordt er ook nog eens met de pet naar gegooid met betrekking tot security? Ik heb een tijdje geleden ook besloten om nooit meer in mijn leven nog één printer te kopen. Ik print ook zelden nog, dus ik mis er niks aan. En.... het bespaart me een enorme kostenpost, want reken maar eens uit wat een printer je kost in zijn werkbare "leven". Je schrikt je te pletter. En wie lacht je uit? Juist: diezelfde printerfabrikant.

Maarreh... even iets anders: een vibrator met wifi en een camera? Serieus jôh? Het moet niet gekker worden. Moet werkelijk echt alles met het internet verbonden zijn? Waar gaat dit nog over?
04-02-2020, 13:04 door Anoniem
Door Anoniem: Begin nou gewoon eens met het aanvalsoppervlak drastisch te verkleinen. Mijn koelkast hoeft echt niet zelf voer te bestellen en de kachel kan ik ook wel bedienen als ik thuis ben.
Tja, iedereen wil alles op het internet aangesloten hebben. Gemak dient de mens. En als het gemak om de hoek komt kijken, dan interesseert het mensen meteen geen klap meer dat het bepaalde implicaties kán hebben.
04-02-2020, 13:15 door Anoniem
Door Anoniem: Begin nou gewoon eens met het aanvalsoppervlak drastisch te verkleinen. Mijn koelkast hoeft echt niet zelf voer te bestellen en de kachel kan ik ook wel bedienen als ik thuis ben.
Lulkoek! Je schaft die dingen ZELF aan!
04-02-2020, 13:20 door Anoniem
Maarreh... even iets anders: een vibrator met wifi en een camera? Serieus jôh? Het moet niet gekker worden. Moet werkelijk echt alles met het internet verbonden zijn? Waar gaat dit nog over?

hi hi en dan gaan zeuren over je k*t verbinding?
04-02-2020, 14:04 door Anoniem
Door Anoniem:
Door Anoniem: Begin nou gewoon eens met het aanvalsoppervlak drastisch te verkleinen. Mijn koelkast hoeft echt niet zelf voer te bestellen en de kachel kan ik ook wel bedienen als ik thuis ben.
Lulkoek! Je schaft die dingen ZELF aan!

Lulkoek?
Hoe zie jij dat?
Als ik zie staan "begin nou eens het aanvalsoppervlak drastische te verkleinen" dan denk ik aan breng het aantal en omvang van aantal contactpunten en interfaces die iets met internet kunnen terug, daarbij ook dus de verbindingen tussen apparaten onderling die elkaars internet/netwerk-verbinding "delen".
Lijkt mij niet meer dan gezond verstand.
En ja, ook dat je daarna minder apparaten zou moeten willen verkopen/kopen, omdat die toevallig of doelbewust (?) oooook een internet aansluiting hebben.
04-02-2020, 14:35 door [Account Verwijderd]
Als fabrikanten laks zijn met updates, dan moet je de producten niet meer toelaten op de Nederlandse markt.
04-02-2020, 16:52 door Anoniem
Ondertussen hebben we zo'n nitwit/papegaai van een minister die blaat dat 'we' zwakkere encryptie moeten gebruiken. Alweer voor de ....'veiligheid'. Tegen kinderwapens, hardpr0n en andere drugs, toch?
Dus updaten wordt straks downgraden.
Hoe denkt de consumentenbond hierover? Over het desinformeren van argeloze digibeten. Door het ministerie. Omtrent deze zwakzinnigheid is het oorverdovend stil. Jammer
04-02-2020, 17:19 door Anoniem
Door Advanced Encryption Standard: Als fabrikanten laks zijn met updates, dan moet je de producten niet meer toelaten op de Nederlandse markt.

Nee hoor. Volgens minister Grapperhaus zijn de fabrikanten goed bezig. De manden zijn lek genoeg.
04-02-2020, 18:11 door CBYvo
Door Anoniem: Ondertussen hebben we zo'n (...) van een minister die aangeeft (red.) dat 'we' zwakkere encryptie moeten gebruiken. Alweer voor de ....'veiligheid'. (...)
Dus updaten wordt straks downgraden.
Hoe denkt de consumentenbond hierover? (...)

De Consumentenbond is er voor Consumenten, ze verdedigt de belangen van Consumenten, en redeneert (Echt onafhankelijk) vanuit het Consumentenperspectief. Met hetgeen we nu weten van beveiliging (en wat ook door vele experts wordt geuit), is het voor iedereen beter als encryptie niet wordt verzwakt.

Het standpunt van de minister is overigens wel te begrijpen. Het is daarbij ook in lijn met politieke tendenzen in andere westerse landen, zoals het VK en de VS. De overheid heeft (ook) een zekere verantwoordelijkheid voor fysieke veiligheid.

Aangenomen dat je verzwakte encrypie op de een of ander manier goed zou kunnen beheersen... Dan gaat het om vertrouwen in de overheid, die op de een of andere manier een sleutel heeft. Dit vertrouwen kan _nu_ voldoende zijn. In de toekomst kan dat toch veranderen.
Dat maakt dat het verzwakken van encryptie alsnog niet zo'n goed idee is.
05-02-2020, 13:03 door Hyper
Als je het in één keer goed en veilig programmeert, heb je geen updates nodig.
06-02-2020, 02:18 door Anoniem
Door Hyper: Als je het in één keer goed en veilig programmeert, heb je geen updates nodig.
Ik zou zeggen: "Kom van de bank af en laat de wereld even zien hoe het moet!"
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.