Mozilla waarschuwt voor controle van bedrijven over IoT-apparaten
Wie een met internet verbonden apparaat aanschaft moet goed stilstaan bij de controle die bedrijven over het apparaat kunnen hebben, zo waarschuwt Mozilla. Aanleiding voor de waarschuwing is onder andere een aanpassing die loopbandfabrikant Peloton recentelijk aan de apparaten bij klanten thuis doorvoerde.
De ruim vierduizend dollar kostende loopbanden van Peloton zijn in combinatie met een veertig dollar kostend abonnement te gebruiken, dat allerlei oefeningen biedt, maar er is ook een optie om zonder bijkomende kosten alleen te hardlopen. Vanwege een ongeluk in de VS waarbij een kind om het leven kwam rolde Peloton een software-update uit die een toegangscode toevoegt.
De update zorgt er ook voor dat de loopband alleen nog met een betaald abonnement toegankelijk is. Eigenaren zonder abonnement kunnen de loopband niet meer gebruiken. Peloton biedt gebruikers de mogelijkheid om drie maanden kosteloos van een abonnement gebruik te maken en werkt aan een oplossing om gratis gebruikers weer toegang te geven, maar het is onbekend wanneer dit is geregeld.
Een ander voorbeeld waar Mozilla naar wijst deed zich recentelijk voor in de Verenigde Staten, toen een energiebedrijf tijdens een hittegolf de temperatuur bij klanten via een slimme thermostaat verhoogde, om zo energie te besparen.
"Zelfs als je geen Peloton bezit kun je in de toekomst te maken krijgen met de kwestie van wie eigenaar van en controle heeft over een connected device na de aanschaf. Nu het aantal met internet verbonden apparaten in huis en kantoor toeneemt moeten particulieren rekeningen houden met een groeiend aantal conflicten met de fabrikanten van connected devices", zegt Mozillas Jen Caltrider.
Volgens Caltrider hebben bedrijven een bepaalde controle over de apparaten die mensen in hun huis hebben staan, zonder dat die dit bewust weten, omdat het in de kleine lettertjes staat die vaak niet worden gelezen. Of bedrijven laten hun klanten extra betalen om van een apparaat gebruik te blijven maken waarvoor ze al veel geld hebben betaald. "Dat is best eng en iets waar we in de toekomst op zullen letten", aldus de Mozilla-medewerker. Mozilla kwam eerder al met een overzicht van de privacyeigenschappen van allerlei IoT-apparaten.
Bijvoorbeeld dat van die slimme thermostaat dat was iets wat de klanten wisten, en wat ook heel slim is.
Als op een bepaald moment het electriciteitsbedrijf niet meer aan de vraag kan voldoen, wat wil je dan:
- een beetje hogere temperatuur in je huis
- hele wijken zonder stroom zetten
De mensen wisten dat ze meededen aan een oplossing van het probleem, en daar stond ook wat tegenover.
Wil je niet meehelpen om problemen op te lossen, doe dat dan ook niet!
Het is niet goed om andere IoT problemen daar bij te vegen, want dit was geen probleem, dit was een oplossing.
Het ergste is dat mensen niet worden ingelicht over de problemen van camera in hun tv .
Even met je liefhebbende stoeien of u uitkleden of uw kinderen omkleden niet verstandig in de buurt van apparatuur van bedenkelijk oorsprong .Ik zoek nog altijd uit of mijn tv via hdmi nu internet ontvangt of niet omdat die kabel veel doorgeeft en vermoedelijk ook ethernet.
Het feit dat je wurgkontrakten zou krijgen van enkele criminele bedrijven (heb ik geluk dat ik elektronica toch iets of wat onder de knie heb)Kan ik die opties vervangen door arduino. slopen die rotzooi.Spijtig is dat enkel simpele zielen worden uitgebuit en deze niet door ons/andere worden beschermd. nog te zwijgen welke afval berg die het meebrengt . Het CEE label en hun inspecteurs afschaffen was niet zo een goed zet.De heropstart van CEE en dan betaald door de verkopers door taksen of gewoon goederen blockeren voor deze ons nog maar kunnen bereiken zou ook veel helpen . Voor mijn part sturen ze de goederen die niet voldoen gewoon terug dat zij die stockeren of vernietigen.
Een ander voorbeeld waar Mozilla naar wijst deed zich recentelijk voor in de Verenigde Staten, toen een energiebedrijf tijdens een hittegolf de temperatuur bij klanten via een slimme thermostaat verhoogde, om zo energie te besparen.
"Zelfs als je geen Peloton bezit kun je in de toekomst te maken krijgen met de kwestie van wie eigenaar van en controle heeft over een connected device na de aanschaf (..)"
Vergeet niet de “superwachtwoorden” die fabrikanten en leveranciers ingebakken hebben in zonnepanelen-inverters.
Het gevaar is dat deze “superwachtwoorden” in verkeerde handen kunnen vallen.
Door Anoniem 12-07-2021 16:07 :
https://eenvandaag.avrotros.nl/item/hacken-van-zonnepanelen-kan-leiden-tot-europese-stroomstoring/
Willem Westerhof van ITsec vindt dat SMA de gebruikers en installateurs van de omvormers technisch zou moeten dwingen het standaard wachtwoord te veranderen. Nu kon hij al eenvoudig inbreken door veelgebruikte standaard wachtwoorden, bijvoorbeeld ‘0000’ te gebruiken.
Ook SMA zelf zou moeten stoppen met het gebruiken van ‘superwachtwoorden’, waarmee het bedrijf bijvoorbeeld eenvoudig op afstand een gebruiker kan helpen bij problemen met het apparaat. Als een hacker er één weet te achterhalen, heeft hij in een klap de controle over een groot aantal apparaten van SMA. Dergelijke ‘superwachtwoorden’ zouden ze alleen moeten gebruiken op basis van fysieke toegang, aldus de ethisch hacker.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
