Privacy - Wat niemand over je mag weten

Privacy en security bij smarthome

02-09-2019, 21:05 door Anoniem, 17 reacties
(dit topic hoort dus niet alleen thuis in de categorie privacy maar ook in security)

Mede naar aanleiding van https://www.security.nl/posting/622759/Bedrijven+willen+smart+home+%22naar+de+massa%22+brengen het volgende:

Smarthome is bezig om in een stroomversnelling te raken
Een tsunami van zulke produkten is al begonnen om de markt te overspoelen.
Alleen de informatie die erbij wordt gegeven is bijzonder karig zag ik.

Onlangs zag ik een bewakingscameraatje (wifi) dat werkt met een app op je smartphone of tablet.
Klinkt logisch want bijna overal is WiFi beschikbaar.
Nergens lees je echter welke app je het beste kan gebruiken. Dat mag je zelf uitzoeken of je moet speciaal gaan vragen.

Ik begrijp dat om de boel met elkaar te kunnen laten communiceren je in de app moet aangeven wat je Wifiwachtwoord is
en druk je een knopje in op de camera. Vervolgens verschijnt er een QR-code op je smartphone of tablet.
Deze QR-code hou je simpel even voor de camera en hatzee, alles is ingesteld
waarbij je zowel binnen als buitenshuis voortaan toegang tot de camera hebt.
Kind kan de was doen.

Maar buiten je zicht om wordt hier vermoedelijk verbinding gemaakt met een externe centrale server of cloud
via welke alle communicatie verloopt. (dus ook de camerabeelden komen langs die server of cloud)
Bovendien wil de app zo'n beetje de beschikking hebben over alle onderdelen van je smartphone of tablet.

Vermoedelijk moet uPnP van je router hierbij aan staan, zodat automatisch een poort forward voor een centrale server of cloud kan worden gemaakt. Wat er precies achter de schermen gebeurt wordt helaas met geen woord over gerept.
Het lijkt mij echter het meest logische dat het zo werkt, anders zou ik niet weten hoe je vanaf elke plaats op de wereld
de camerabeelden thuis kunt bekijken op je smartphone.
Zo wordt de bijna noodzaak (in ieder geval voor leken) van de aanwezigheid van zo'n externe server of cloud duidelijk.
Dit brengt echter privacy en security risico's met zich mee. Alleen daar hoor je de fabrikanten en verkopers niet over.

Ik heb ergens gelezen dat voor Woox/Tuya produkten in Europa de centrale server ergens in Duitsland zou staan,
hoewel Tuya/Woox voor zover ik kan nagaan een Chinees/Amerikaans initiatief is?
Men brengt het allemaal erg aantrekkelijk, maar vanwege de karige informatie lijken de negatieve kanten van het systeem
te worden verzwegen.

Hoe denken jullie hier over, en heeft iemand al meer ervaring hoe het nu allemaal precies werkt bij dit soort Woox / Tuya etc. produkten, en wat precies de risico's zijn voor je privacy en security als je zo'n systeem installeert?
Moeten mensen op het ergste voorbereid zijn, of valt het allemaal erg mee en waarom?
Reacties (17)
03-09-2019, 11:40 door Anoniem
Vermoedelijk moet uPnP van je router hierbij aan staan, zodat automatisch een poort forward voor een centrale server of cloud kan worden gemaakt.
Nee, het werkt zonder uPnP.
Het smarthome-ding communiceert steeds met de server en de router geeft dan de mogelijkheid om terug te praten.
De app houdt contact met dezelfde server.
Er kan dus vlot een verbinding tot stand kan komen tussen je smartphone en bijv. de camera thuis.
https://community.openhab.org/t/tuya-smart-plug/31171
04-09-2019, 11:32 door Anoniem
Ben zelf e.e.a. aan het onderzoeken. Voor de lezers diie een beetje technische achtergrond hebben, graag alles zelf in de hand willen hebben, en domotica hardware van meerdere fabrikanten willen kunnen combineren in hun thuis-systeem:
kijk eens naar "domoticz". Rpi, Arduino en wat dedicated hardware, geleverd via een Nederlandse shop ook nog.

https://www.domoticz.com/forum
https://www.domoticz.com
http://www.rflink.nl/blog2/2015/07/HA_nl
https://www.nodo-shop.nl/nl/

Robert
04-09-2019, 20:23 door Anoniem
Dank voor jullie reacties. Ben zelf ook blijven zoeken en een stap verder gekomen.

https://faq.en.tuya.com (- How does Tuya deal with the data generated on the Tuya Smart platform? -) :
Tuya does not produce hardware itself and will not use the data generated on the Tuya Smart platform for other purposes. Tuya only provides the running status of sold products and user operation logs on the Tuya Smart platform for you to understand the use of devices, quickly respond to market needs, and make more suitable business policies.
Tuya biedt dus een platform aan waar produkt-ontwikkelaars gebruik van zouden kunnen maken,
waarbij de te ontwikkelen produkten aan een aantal door Tuya gestelde eisen moeten voldoen.

Verder is mogelijk uit de volgende link nuttige informatie van allerlei soort over het Tuya platform vandaan te halen,
en kan men vinden aan welke functies de produkten die er gebruik van maken moeten voldoen:
https://docs.tuya.com/
(zo te zien vooral bedoeld voor de ontwikkelaars die dit platform ook willen gebruiken,
maar dat kan ook interessant zijn voor (technische) gebruikers die wat meer willen weten hoe het werkt e.d.
04-09-2019, 22:51 door Anoniem
Door Anoniem: (dit topic hoort dus niet alleen thuis in de categorie privacy maar ook in security)


Onlangs zag ik een bewakingscameraatje (wifi) dat werkt met een app op je smartphone of tablet.
?

Nee, we worden alleen verslaafd gemaakt en gehouden en vooral afhankelijk gemaakt omdat ieder bedrijf een eigen App moet en voor je het weet zijn websites weg en telefoonnummers met helpdesks en ouderwetse post weg (dit is al zo bij incassos, waarschuwingen krijg je via de email dus als je niet oplet heb je de deurwaarder voor de deur want die komen wel nog echt).

Aan die hele app industrie hebben maar een paar grote jongens baat. De rest loopt er als slaafjes bij terwijl ze bij elke letter weer informatie weggeven zonder er iets voor terug te krijgen. De overheid en de zittende macht vind het goed want het is de digitalisering van de controle op het schaapjesvolk. Die schaapjes worden lekker week gehouden met appjes en alleen komt er een waarschuwing in de MSM als het mis gaat als een app bijvoorbeeld data aan Rusland verkoopt (Faceapp) en dat is heel goed maar je hoort geen waarschuwing over honderden en duizenden anderen apps die ook dezelfde data verkopen aan god mag weten wie.

Dubbele standaarden en hypocrisie.
08-09-2019, 17:07 door Anoniem
Door Anoniem: Ben zelf e.e.a. aan het onderzoeken. Voor de lezers diie een beetje technische achtergrond hebben, graag alles zelf in de hand willen hebben, en domotica hardware van meerdere fabrikanten willen kunnen combineren in hun thuis-systeem:
kijk eens naar "domoticz". Rpi, Arduino en wat dedicated hardware, geleverd via een Nederlandse shop ook nog.

https://www.domoticz.com/forum
https://www.domoticz.com
http://www.rflink.nl/blog2/2015/07/HA_nl
https://www.nodo-shop.nl/nl/

Robert

Als je meerdere fabrikanten wilt combineren via RF kun je een hackrf1 gebruiken. 1 regel script voor elk wireless toestel in je huis op de replay modus. Alles wat niet OTP is kun je sowieso hacken en je bent niet gebonden aan fabrikanten of specifieke freqs zoals 443.92mhz

Een webinterface of App is ook zo gebouwd maar in tegenstelling tot de RFLINK heb je meer controle over alles.
10-09-2019, 18:26 door Anoniem
Ik gebruik geen smartphone,ik gebruik geen slimme devices die mijn gedrag controleren
en beslissingen voor mij nemen,en wat ik moet doen en wie ik mag zijn.
11-09-2019, 15:47 door Anoniem
Door Anoniem: Ik gebruik geen smartphone,ik gebruik geen slimme devices die mijn gedrag controleren
en beslissingen voor mij nemen,en wat ik moet doen en wie ik mag zijn.
Een schakelklok die je gedrag controleert bedoel je?
Er zijn plenty types die dat helemaal niet kunnen, en ik maak er met veel vertrouwen dankbaar gebruik van.
12-09-2019, 17:09 door Anoniem
In smart home systemen die via WiFi communiceren, wordt meestal de ESP8266 als WiFi-module gebruikt.
(voor enkele euro's koop je er al één om zelf mee te prutsen)
Helaas zijn er recentelijk kwetsbaarheden gevonden in deze modules.
https://hackaday.com/2019/09/05/esp8266-and-esp32-wifi-hacked/

Patches van de fabrikant zijn gereed: https://www.espressif.com/en/Security_advisories_about_Zero_PMK_installation_and_beacon_crash?position=0&list=u_TUji05e7GX2D5C0dqO7cJTORrk80-MtOtmUeQSutE

Tuya/Woox werkt voor zover ik kan nagaan ook met dit type modules.
Ik ben eigenlijk wel benieuwd of deze pacthes automatisch worden geïnstalleerd?
12-09-2019, 19:39 door Anoniem
Door Anoniem:
Door Anoniem: Ik gebruik geen smartphone,ik gebruik geen slimme devices die mijn gedrag controleren
en beslissingen voor mij nemen,en wat ik moet doen en wie ik mag zijn.
Een schakelklok die je gedrag controleert bedoel je?
Er zijn plenty types die dat helemaal niet kunnen, en ik maak er met veel vertrouwen dankbaar gebruik van.
Een schakelklok controleert geen gedrag.
13-09-2019, 12:41 door Anoniem
Smart Home = Hacked Home. Smart Phone = Hacked Phone. En een dumb phone off, clean-run doende analoge Unix gebruiker = Hooked Wetware.
14-09-2019, 19:25 door Anoniem
Bij smartphones weet je nooit of je gehacked bent. Antivirus is verouderd bij zerodays en draait in userland. Remote root exploits worden nooit gevonden omdat de nieuwe hacks geen rootkit achterlaten of data op je filesystem maar alleen in je geheugen. Bij een reboot is het weg maar je bent zo weer gehacked. Bij definitie is een smartphone, elke smartphone, hardstikke onveilig vooral als de code via de trajacten van Google en Alphabet worden ingevoerd via systeemfeatures.

Dumb phones met het super uitgebreide SMS protocol hebben ook nog genoeg lekken maar je enige risico is locatiebepaling.
Daarbij vallen dumb phones in het grid automatisch op, wie gebruikt zo iets? De doelgroepen kun je raden. Het netwerk weet je phone en typenummer via welk protocol gebaseerd op SMS??

Tenzij jij op live iphone en android toestellen de memory chips hardwarematig kunt uitlezen en weet waar je naar moet zoeken moet je een smartphone als mogelijk compromised beschouwen. Die custom roms zijn ook niet heilig, ze zijn hooguit een alternatief voor de Playstore. Wie heeft ervaring met het live debuggen van phone memory en hoe doe je dit?

Ik kan het geheugen wel uitlezen (de chips) met een reader en na deze eerst bevroren te hebben met koudespray.
Ik probeerde ook mijn smartphone te rooten en dan via de shell een dd van de kernelmem naar een file te catten, via usb debugging modus. Erg omslachtig en detecteerbaar zodra 'debugging modus' is ingeschakeld, de processen zoals shell zijn ook te vinden door slimme op de gebruiker toegespitste malware die tijdelijk in RAM woont.
15-09-2019, 13:18 door Anoniem
Door Anoniem: Smart Home = Hacked Home. Smart Phone = Hacked Phone. En een dumb phone off, clean-run doende analoge Unix gebruiker = Hooked Wetware.

Analoge Unix gebruiker? Zoek de definitie van analoog nog eens op.
15-09-2019, 17:05 door Anoniem
Door Anoniem:
Door Anoniem: Smart Home = Hacked Home. Smart Phone = Hacked Phone. En een dumb phone off, clean-run doende analoge Unix gebruiker = Hooked Wetware.

Analoge Unix gebruiker? Zoek de definitie van analoog nog eens op.

Analoge mensen zijn oude mensen. Unix is oud et voila. Je moet tussen de regels door lezen om de code te snappen. Snap je, code? Van een persoon (waar niets meer van vernomen is sinds de winter) die hier regelmatig postte merkte ik dat hij aan het coden was door gebruik van spatiering. Ik gebruik een speciale plugin in mijn browser voor pattern herkenning in text voor HUMINT analyse. Voor de hobbie.
16-09-2019, 20:37 door Anoniem
Door Anoniem: Smart Home = Hacked Home. Smart Phone = Hacked Phone. En een dumb phone off, clean-run doende analoge Unix gebruiker = Hooked Wetware.

Wat wat wat? Is dat als ik een kop koffie mors over mijn telefoon ofzo? Morgen maar eens proberen. Hopelijk heeft het winkelend publiek er geen last van want ik werk vanuit een publieke lokatie.
16-09-2019, 22:36 door Anoniem
Heb een ESP8266 besteld en die komt hopelijk Morgen binnen.
21-09-2019, 20:16 door Anoniem
Volgens wat in deze link beschreven staat is in ieder geval een bepaald gedeelte van Woox (camera) hackproof:
https://www.dealert.nl/woox-smart-security-cam.html (alleen zichtbaar met javascript aan)
17-10-2019, 22:14 door Anoniem
1984 is niets vergeleken met de Big Brother Spionage die nu plaatsvinden Wordlwide
Fucking Nazis dat zijn het die boys van Google
Same thing voor Suikerberg fascist mini dictator SS Suikerberg Victoria
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.