Grote webwinkels zoals Amazon waar meerdere aanbieders op actief zijn zouden de veiligheid van IoT-apparaten die via het platform worden aangeboden eerst moeten testen, voordat het publiek die kan kopen. Daarvoor pleit de Amerikaanse burgerrechtenbeweging EFF. Aanleiding is de aanwezigheid van malware op een Android tv-box die via Amazon wordt aangeboden.
De malware op het apparaat maakt verbinding met een command & control (C2)-server en kan zo opdrachten van de aanvaller uitvoeren. Verder bleek dat de Android Debug Bridge (adb) standaard via ethernet en wifi toegankelijk is. ADB is een tool om Android-apparaten bijvoorbeeld via een computer mee te benaderen. Normaliter is ADB niet toegankelijk via internet.
"De grote beschikbaarheid van deze goedkope apparaten vormt een risico voor consumenten, hun netwerken en de veiligheid en stabiliteit van het internet in zijn geheel. Hoewel het onpraktisch is om een uitgebreide security-audit voor alle via Amazon verkochte goederen uit te voeren, kan er voor de verkoop van IoT-consumentenapparatuur een uitgebreider controleproces worden geïmplementeerd. Zo had een eenvoudige netwerkanalyse ontdekt dat deze apparaten met C2-servers communiceren en de ADB-poorten open hebben staan", zegt Bill Budington van de EFF.
Volgens de burgerrechtenbeweging worden deze apparaten door onbekende Chinese fabrikanten geproduceerd die onder andere op security bezuinigen. Door het ontbreken van een veiligheidscertificering voor IoT-apparaten en de grote beschikbaarheid van deze apparatuur, baseren consumenten hun keuze vaak op prijs in plaats van informatie, merkt Budington op. Binnen de Amerikaanse regering wordt al gekeken naar veiligheidslabels voor IoT-apparatuur, maar dat is er nog niet. De EFF roept platforms zoals Amazon dan ook op om aangeboden apparatuur beter te testen voordat ze die aanbieden.
Deze posting is gelocked. Reageren is niet meer mogelijk.