image

Veel IoT-apparaten missen basale privacybescherming

dinsdag 24 april 2018, 14:36 door Redactie, 9 reacties

Veel Internet of Things-apparaten missen basale beveiligings- en privacymaatregelen, delen informatie met derde partijen en maken het mogelijk om het gedrag van gebruikers af te leiden, zo blijkt uit onderzoek van de Princeton University. De onderzoekers zijn een grootschalig onderzoek naar de privacy en digitale veiligheid van IoT-apparatuur gestart en de eerste resultaten zijn niet bemoedigend.

Zo blijkt dat de meeste onderzochte IoT-apparaten basale versleuteling en authenticatie missen. Een slimme bloeddrukmeter van Withings blijkt bijvoorbeeld verzoeken onversleuteld te versturen, waardoor een aanvaller kan achterhalen dat iemand een bloeddrukmeter bezit en hoe vaak die wordt gebruikt. Informatie die via het gebruik van encryptie kan worden afgeschermd. Ook het onderzochte IoT-speelgoed blijkt geen gebruik van versleutelde verbindingen te maken.

Wanneer het verkeer van de IoT-apparaten wel wordt versleuteld is het mogelijk om aan de hand hiervan het gebruikersgedrag af te leiden. Het verkeer van een slaapmonitor laat bijvoorbeeld de slaappatronen van de gebruiker zien, terwijl een slim stopcontact laat zien wanneer er apparatuur in de woning wordt gebruikt. De onderzoekers zijn nu bezig om obfuscatietechnieken te ontwikkelen om ervoor te zorgen dat het gedrag van gebruikers niet via netwerkmetadata is af te leiden.

Een andere constatering die de onderzoekers deden is dat veel IoT-apparaten met de servers van derde partijen communiceren. Iets wat gebruikers vaak niet weten. Zo maakt de onderzochte Samsung Smart TV een minuut na het aanzetten verbinding met Google Play, Double Click, Netflix, FandangoNOW, Spotify, CBS, MSNBC, NFL, Deezer en Facebook, ook al hebben de onderzoekers geen account bij deze diensten aangemaakt en probeerden ze er ook niet in te loggen.

"Een derde partij kan gebruikersdata van een groot aantal apparaten verzamelen, waardoor het mogelijk wordt om het gedrag van een gebruiker over allerlei apparaten te volgen", zo waarschuwen de onderzoekers. Als onderdeel van het onderzoek werden meer dan 50 IoT-apparaten geanalyseerd, maar het is de bedoeling dat het aantal wordt uitgebreid. Zo kunnen mensen via deze website zelf IoT-apparaten aandragen waar ze zich zorgen over maken die de onderzoekers dan mogelijk gaan onderzoeken.

Image

Reacties (9)
24-04-2018, 15:07 door ph-cofi
Onversleuteld communiceren of hardgecodeerde accounts en wachtwoorden, dat is basaal.

Echter, het voorbeeld van de Samsung Smart TV is nog weer een andere categorie: ingebouwde spyware / calling home door een A merk naar commerciële partijen waar de klant geen weet van heeft of waar de klant geen toestemming voor gevraagd is. Wat zou het NL kabinet hierover willen afspreken in EU verband in haar roadmap? Ik kan het niet zo gauw vinden...
https://www.security.nl/posting/559467/Kabinet+presenteert+aanpak+om+Internet+of+Things+te+beveiligen
24-04-2018, 15:10 door Anoniem
Leuk, via onze leverancier heb ik inzage gekregen in hun onderzoekje:
https://blog.networking4all.com/2018/04/internet-of-things-apparaten-laten-deuren-wagenwijd-open-staan/
24-04-2018, 18:50 door Anoniem
Gelukkig alles wat niet van Microsoft is zeggen ze dat veiliger is...
Niet automatisch updaten in zo 2001.
24-04-2018, 20:10 door Anoniem
Fijn hoor... ....En als die IOTroep nu ook IPv6 gaat gebruiken dan weten zelfs onderzoekers niet meer wat deze prut allemaal aan data wegsluist met dank aan geïntegreerde tunnel functionaliteit van dit mislukte protocol wat ironisch genoeg de enige mogelijkheid is om IoT te laten slagen door de enorme honger aan adressen.

En ondertussen lachen fabrikanten zich helemaal kapot: consumenten betalen je voor een product waarmee je ze niet alleen in de gaten kan houden maar je ook nog eens rijk wordt van de data die jouw kant op komt.

Wat zijn consumenten toch dom.
24-04-2018, 22:25 door Anoniem
Door Anoniem:En als die IOTroep nu ook IPv6 gaat gebruiken dan weten zelfs onderzoekers niet meer wat deze prut allemaal aan data wegsluist met dank aan geïntegreerde tunnel functionaliteit van dit mislukte protocol

IPv6 is niet het probleem hier.
Er is geen geïntegreerde tunnel functionaliteit in IPv6. Er zijn wel (tijdelijke) transitie-technieken zoals Teredo die gescheiden IPv6-werelden via de IPv4-wereld met elkaar kunnen laten communiceren. Daar is de goede beheerder zich van bewust. Hij/zij kan het blokkeren, of zorgen voor native IPv6 zodat er geen Teredo nodig is. Enz.

IPv6 is (nog) niet mislukt. Miljoenen consumenten gebruiken het. En er zijn miljoenen websites via IPv6 bereikbaar.

Het is dus onzinnig om IPv6 te betrekken bij deze IOT-problematiek.
25-04-2018, 06:49 door Anoniem
Door Anoniem: Fijn hoor... ....En als die IOTroep nu ook IPv6 gaat gebruiken dan weten zelfs onderzoekers niet meer wat deze prut allemaal aan data wegsluist met dank aan geïntegreerde tunnel functionaliteit van dit mislukte protocol wat ironisch genoeg de enige mogelijkheid is om IoT te laten slagen door de enorme honger aan adressen.

En ondertussen lachen fabrikanten zich helemaal kapot: consumenten betalen je voor een product waarmee je ze niet alleen in de gaten kan houden maar je ook nog eens rijk wordt van de data die jouw kant op komt.

Wat zijn consumenten toch dom.

En hier vooral klagen over de Microsoft producten... Maar moet je eens bij de concurenten kijken...
Als bij Microsoft dit soort zaken gebeuren is de wereld te klein, maar bij andere leverancier wordt het soort van geaccepteerd want we willen de functionaliteit.
25-04-2018, 09:29 door Anoniem
"Veel IoT-apparaten missen basale privacybescherming"

In Nederland heeft de overgrote meerderheid van de huishoudens zo'n apparaat in huis. Ze kunnen er zelf niets op aanpassen en het logt elke 15 minuten gegevens dat wordt verzameld en gedeeld met elk commercieel bedrijf dat zelf aangeeft. Het apparaat heet slimme meter, maar het is alleen slim voor de eigenaar: de netbeheerder. Die wil rijk worden aan tarievendifferentiatie en vraagt aan consumenten om minder op te wekken en zelf voor opslag te zorgen. Ok, het apparaat hangt niet direct aan Internet, maar de servers met alle data wel.
25-04-2018, 10:59 door Anoniem
Door Anoniem: Fijn hoor... ....En als die IOTroep nu ook IPv6 gaat gebruiken dan weten zelfs onderzoekers niet meer wat deze prut allemaal aan data wegsluist met dank aan geïntegreerde tunnel functionaliteit van dit mislukte protocol wat ironisch genoeg de enige mogelijkheid is om IoT te laten slagen door de enorme honger aan adressen.

En ondertussen lachen fabrikanten zich helemaal kapot: consumenten betalen je voor een product waarmee je ze niet alleen in de gaten kan houden maar je ook nog eens rijk wordt van de data die jouw kant op komt.

Wat zijn consumenten toch dom.

IPv6 devices horen ook gewoon achter een firewall te zitten, net als IPv4 devices.
Daarnaast dien je niet alleen te vertrouwen op je firewall maar ook je services zo in te richten en te beveiligen dat bij het wegvallen van je firewall je service toch voldoende afgezekerd is. Dus sterke wachtwoorden voor die service of certificaat/key's gebruiken.
26-04-2018, 13:31 door Anoniem
"Wat zijn consumenten toch dom."

Ik durf te stellen dat als jij de fijnere kneepjes van de algeme relativiteits theorie ook nooit begrijpen zal je dan meteen als dom te betitelen misschien niet zo rechtvaardig is. voel je me punt?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.