Opvallend verkeer en gedrag bij smart-tv's en IoT-deurbellen
Smart-tv's die standaard verkeer naar Netflix sturen ook al heeft de gebruiker geen Netflix-account en IoT-deurbellen die opnames van voorbijgangers maken zonder dit aan de eigenaar te melden. Het zijn slechts enkele uitkomsten van een grootschalig onderzoek naar Internet of Things-apparaten (pdf).
Het onderzoek werd uitgevoerd door onderzoekers van het Imperial College London en de Northeastern University. Het vond gedurende een periode van anderhalf jaar plaats en omvatte 81 IoT-apparaten, waaronder rijstkokers, koelkasten, lampen, speakers en televisies, die aan ruim 34.000 gecontroleerde experimenten in twee locaties, de Verenigde Staten en Verenigd Koninkrijk, werden blootgesteld. 72 van de 81 apparaten stuurden data naar een locatie die niet van de fabrikant was. Verder bleek dat 56 procent van de apparaten in de VS en bijna 84 procent van de apparaten die in het VK werden getest data naar locaties buiten hun regio stuurden.
Alle apparaten blijken informatie via onversleutelde data te lekken en een passieve afluisteraar kan bij 30 van de 81 apparaten het gedrag van de gebruiker en het apparaat aan de hand van het verkeer afleiden, ongeacht of dit versleuteld is. Tevens blijkt dat tientallen van de apparaten bij het inschakelen data naar derde partijen versturen, waaronder Facebook, Google, Microsoft en Netflix. Tevens blijkt dat een klein aantal cloudproviders het meeste IoT-verkeer zien, waardoor ze een grote hoeveelheid informatie ontvangen over de apparaten die bij mensen thuis staan.
De onderzoekers stelden ook opvallend gedrag van de IoT-apparaten vast. Bijna alle geteste smart-tv's verstuurden data naar Netflix, ook al was er geen Netflix-account op de televisie ingesteld. De Ring-cameradeurbel maakt een video-opname van alle voorbijgangers, zonder dat de gebruiker hierover via de app wordt geïnformeerd. Alleen in het privacybeleid staat dit vermeld. De Zmodo-deurbel uploadt camerafoto's wanneer het apparaat wordt ingeschakeld en maakt ook standaard opnames van voorbijgangers, maar dit staat nergens vermeld. Verder blijkt dat de Alexa-spraakassistent, die alleen op de term "Alexa" zou moeten reageren, geregeld via ongerelateerde woorden wordt geactiveerd.
Volgens de onderzoekers laat het onderzoek zien dat zorgen over het lekken van gegevens door Internet of Things-apparaten terecht is en dat hier verder onderzoek naar moet worden uitgevoerd. Om verder grootschalig onderzoek naar IoT-apparaten te faciliteren hebben de onderzoekers de code en dataset van hun infrastructuur via GitHub gedeeld.
Is dat raar, wanneer er een Netflix app zit in de appliance, die bijgewerkt moet worden. Je koopt een TV, met bijvoorbeeld Youtube, Netflix en andere apps. Dat er vervolgens verkeer is met servers van Youtube, Netflix en andere apps -of je ze nou gebruikt of niet- spreekt voor zich. Een veel interessantere vraag is of er informatie wordt gedeeld, welke niet nodig is voor de functionaliteit van de app
We hebben niets meer wat we KUNNEN verbergen, hooguit je gedachten.
Slimme jongens hoor.
Nee, dat gaat niet. Verbaasd mij niks.
Hetzelfde laken en pak als bij android. Je (net) aangeschafte apparaat blijkt toch niet voor de volle 100% van jouw te zijn.
We hebben niets meer wat we KUNNEN verbergen, hooguit je gedachten.
Juist,maar dat is ook het punt waar ze naar toe willen,
controle over je brein,het laatste wat nog van jou zelf is,(jou eigen ik zijn).
Maar ook daar komt controle op, je emotie,je gedrag door middel van slimme devices,infra-structuur,
technische bio/iris,sensoren,het panopticum waar wij allen al in leven,(algoritmes = gedrags-controle).
Om de supermens te creeren,is (keurig burger)en wellicht het implanteren van technisch dna,
gekoppeld aan sensoren en slimme devices,wij willen slim en slimmer meer data meer controle,
op de keurige burger.
Het begint waar ze de meeste macht al op hebben en dat is ons voedsel,
en het manipuleren daarvan.
Luisteren,zwijgen,zelf niet meer hoeven na te denken,wij denken en beslissen voor uw.
Wij weten wie jij bent,en wie je moet zijn.
The Matrix
Nee, dat gaat niet. Verbaasd mij niks.
Hetzelfde laken en pak als bij android. Je (net) aangeschafte apparaat blijkt toch niet voor de volle 100% van jouw te zijn.
Dit heeft niets te maken met Android maar met de vooraf geïnstalleerde applicaties door de fabrikant van het toestel.
Daarnaast kan je je toestel rooten en ze er alsnog vanaf gooien.
Met deze suggestie kun je - zolang de voorraad strekt - nog iets:
Bij Bol.com een aardig lijstje te vinden van 'non-smart TV's'.
Het zijn er nog maar tachtig volgens deze info.
Als je een nieuwe TV moet/wil en persé geen smart: Hier de merken en types:
https://www.bol.com/nl/l/tv-s-geen-smart-tv/N/7291+34394/filter_N/4274456119/?view=list
Slimme jongens hoor.
Is het daarom opeens niet belangrijk om te melden? Dit gebeurd en veel mensen weten het niet (en erger, willen het niet weten). Doordat mensen het nog maar eens benadrukken hopen ze bewustzijn te kweken. Dat is immers stap 1 wil je verandering afdwingen.
Blijkt dat wanneer je netflix applicatie wilt gebruiken je je privacy moet opgeven, data wordt verzameld en gedeeld met niet genoemde partijen.
Best bijzonder, wanneer je je orienteerd staat er wel dat er applicaties op de TV zitten, je betaald voor een TV met Apps, vervolgens kan je je privacy ook opgeven als je een app wilt gebruiken anders werken ze niet.
Rondweg schandalig, zou eerlijker zijn om aan te geven dat de applicaties alleen werken wanneer je je privacy opgeeft.
Blijkt dat wanneer je netflix applicatie wilt gebruiken je je privacy moet opgeven, data wordt verzameld en gedeeld met niet genoemde partijen.
Best bijzonder, wanneer je je orienteerd staat er wel dat er applicaties op de TV zitten, je betaald voor een TV met Apps, vervolgens kan je je privacy ook opgeven als je een app wilt gebruiken anders werken ze niet.
Rondweg schandalig, zou eerlijker zijn om aan te geven dat de applicaties alleen werken wanneer je je privacy opgeeft.
Zowiezo gebruik ik de apps op de tv niet. De interface is altijd super traag.
We hebben niets meer wat we KUNNEN verbergen, hooguit je gedachten.
It's all on the way sir !
Command & Conquer.
Daarnaast kan je je toestel rooten en ze er alsnog vanaf gooien.
Ik begrijp niet dat hoogopgeleide een smartphone met Android gebruiken, of is er toch verschil tussen hoogopgeleide
en mensen die begrijpen wat je privacy waard is.Nee ik ben geen van Apple, maar er is geen keus.
Is dat raar, wanneer er een Netflix app zit in de appliance, die bijgewerkt moet worden. Je koopt een TV, met bijvoorbeeld Youtube, Netflix en andere apps. Dat er vervolgens verkeer is met servers van Youtube, Netflix en andere apps -of je ze nou gebruikt of niet- spreekt voor zich.
Dat zou kunnen, maar waarom er dan met minstens 4 of 5 verschillende netflix subdomeinen gecommuniceerd moet
worden en dat ook voortdurend terwijl de TV aan staat ipv wellicht alleen als die ingeschakeld wordt of 1 keer per dag
of week, dat is een beetje onduidelijk. En ook waarom de Netflix app ueberhaupt uptodate gehouden moet worden als
de gebruiker deze niet gebruikt. Dat hoeft toch pas te gebeuren als je hem een keer start?
Slimme jongens hoor.
Dit is toch geen taak voor een firewall op het device... als je die connecties niet wilt zou je de app moeten kunnen
uitschakelen of zelfs verwijderen, beetje onzinnig om die wel te laten draaien maar dan lokaal met een firewall de pas
af te snijden!
Uiteraard kan dat wel in een router gedaan worden en dan ben je ook niet afhankelijk van de medewerking van het device.
En oja, in het Nederlands gebruik je "sinds" niet overal op de plek waar je in het Engels "since" zou gebruiken.
In dit geval bijvoorbeeld niet. Correct is hier "omdat".
Zo kan je soms alleen naar content kijken als je de vpn even uit hebt staan.
Zelfs expressvpn werkt dan niet met Amazone prime,wel met de Amerikaanse Netflix,op een bepaalde Amerikaanse server van Expressvpn.
Tja dan kan er inderdaad soms worden uitgelezen wat voor dataverkeer je gebruikt,als je de vpn applicatie even uit moet zetten.
Zo kan je soms alleen naar content kijken als je de vpn even uit hebt staan.
Zelfs expressvpn werkt dan niet met Amazone prime,wel met de Amerikaanse Netflix,op een bepaalde Amerikaanse server van Expressvpn.
Tja dan kan er inderdaad soms worden uitgelezen wat voor dataverkeer je gebruikt,als je de vpn applicatie even uit moet zetten.
Dan moet je een VPN aanbieder nemen die in meerdere landen een exit-node aanbiedt.
Daarnaast kan je je toestel rooten en ze er alsnog vanaf gooien.
Ik begrijp niet dat hoogopgeleide een smartphone met Android gebruiken, of is er toch verschil tussen hoogopgeleide
en mensen die begrijpen wat je privacy waard is.Nee ik ben geen van Apple, maar er is geen keus.
Correct me if I'm wrong.
Correct me if I'm wrong.
Sinds ik een smart TV heb kijk ik vrijwel alleen nog via de apps van het ding en nauwelijks meer via de kabel.
Die kan binnenkort wel weg, eigenlijk.
Als je graag naar naar de linkse deugpropaganda op de NPO of de eindeloze commercials op RTL kijkt dan is het wellicht
een ander verhaal ja.
niet zeker kan weten.
Dat neemt niet weg dat het data graaien gewoon legaal mag, helaas is er voor mij wegens geen betere de
keus voor Apple snel gemaakt, we weten toch echt allemaal wat Google met je data doet.
politiek ons wil voorschotelen.
Als jij geen probleem hebt met Android moet je gewoon kijken, ik hoop dat Google van de aardbodem verdwijnt,
en dat kan alleen door er geen gebruik van te maken, maar helaas gaat dat niet gebeuren.
Sinds ik een smart TV heb kijk ik vrijwel alleen nog via de apps van het ding en nauwelijks meer via de kabel.
Die kan binnenkort wel weg, eigenlijk.
Ja, dat kan. Advertenties kunnen met Pi-Hole® ook uit smart-tv's worden geweerd, dus vast ook wel de onuitgenodigde meegluurders in gecompromitteerde IoT-deurbellen.
https://pi-hole.net/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
