Toezichthouders hekelen updatebeleid 'slimme' apparatuur: kan veel beter
Het updatebeleid van én de informatievoorziening bij slimme' apparatuur kan veel beter, zo stellen de Autoriteit Consument & Markt (ACM) en de Rijksinspectie Digitale Infrastructuur (RDI). De toezichthouders deden onderzoek naar 'slimme' thermostaten, wasmachines, babyfoons en televisies en keken of die digitaal veilig zijn en na de aankoop beveiligingsupdates krijgen. Ook hebben zij de informatie die fabrikanten verstrekken voor, tijdens en na de koop laten onderzoeken, zowel bij online aankopen als in de fysieke winkel.
Consumenten hebben bij de aankoop recht op een goed werkend apparaat dat updates krijgt en op alle benodigde informatie. Bijvoorbeeld over hoe het is geregeld met beveiligingsupdates, hoelang deze beschikbaar blijven en wat de gevolgen zijn als gebruikers de update niet installeren. Uit het onderzoek bleek dat de informatieverstrekking summier is. Vooral informatie over het updatebeleid ontbrak.
Verder werd niet telkens de versie van het besturingssysteem vermeld. Veel smart devices werken met apps. Deze apps werken vaak alleen met bepaalde versies van besturingssystemen. Bij twee apparaten werd het minimale versienummer voor het besturingssysteem vermeld. Dit betekent dat gebruikers bij de aankoop niet zeker weten of het apparaat met hun versie van het besturingssysteem goed werkt.
Bovendien verstrekten fabrikanten soms andere informatie dan de verkopers. Dat is volgens de toezichthouders verwarrend. Daarnaast bleek de informatieverstrekking in de fysieke winkels minder volledig dan online. Ook blijkt dat fabrikanten niet altijd beveiligingsupdates leveren, terwijl er wel kwetsbaarheden gevonden waren. In het onderzoek is een steekproef gedaan met vijftien veelgebruikte apparaten.
"Dit onderzoek laat zien dat veel apparaten nog tekortkomingen hebben. Dat is zorgelijk en dus een belangrijk aandachtspunt in ons toekomstig toezicht. In ons eigen ‘IoT-lab’ onderzoeken we de veiligheid van slimme apparaten. De resultaten van dit onderzoek bieden daarvoor goede informatie en helpen ons uiteindelijk om de digitale veiligheid van apparatuur, en daarmee van ons land, verder te vergroten", zegt John Derksen van de RDI.
Deze domme rommel simpelweg niet kopen!
Die dingen kopen we ook nog steeds, bij ziekenhuizen...
Gebouwbeheersystemen, ik heb laatst nog een 80286 moederbordje uit mijn voorraad gehaald om een gebouwbeheersysteem van een groot pand waar chips gebakken worden te reparen.. Hoef je niet te vertellen dat op die 80286 geen volledig gepatchte versie van Windows 11 of Ubuntu 23.10 draait hoor (eerder OS/2 4 of DRDOS of MS-DOS ofzo)..
En zo hebben we nog wel een shitload aan apparatuur.. Laat ik het nog niet eens hebben over VPN, Firewall en NAT hardware die door gerenomeerde amerikaanse bedrijven verkocht wordt...
Apparatuur bedoeld voor de perimiter die zo lek is als een mandje...
Zorgen we er eerst effe voor dat de big tech companies als Ivanti, Cisco, Juniper, Fortinet, Avira, Clario, Zyxel, Ubiquiti, Netscaler, Palo Alto, hard-en software kunnen maken die je tenminste 1 week aan internet kunt hangen voordat ze in een botnet geraken.
Dan moeten we misschien pas gaan kijken naar de hobby-bob doosjes...
Want ik heb het idee dat de grote toezichthouders nu voor het karretje van de big tech gespannen zijn om hun concurenten uit te schakelen terwijl zij zelf met de grootste CVE getallen (9 t/m 10) aan het strooien zijn in die brakke meuk van henzelf.
Een china tokootje die voor 5 euro een routertje verkoopt aan de boom hangen omdat hij niet aan geeft een update voor de komende 7 jaar te leveren (alsof dat kan voor 5 euro) terwijl de big sec-tech al meer dan 20 categorie 10 CVE's aan de broek heeft hangen... en dat zijn de dingen die nog gemeld zijn, de vraag is hoeveel sneaky peaky onder het tapijt zijn gemoffeld of in handen zijn van 3 of 4 letter afk, in binnen- en buitenlandse handen/keyboards zijn beland.
Consumentenrecht zegt ook dat je garantie mag verwachten wat bij de aard van het product gekoppeld is...
Van een 150.000 euro kostende Cisco firewall mag je dan iets anders verwachten dan van een 10 euro kostende tp-link router.
Vreemd dat zo'n fabrikant uit de VS gewoon kan zeggen "ik doe geen support meer voor deze pizza-doos vanaf over 8 weken"... en dat zo'n klubje uit China aan de muur genageld wordt dat ze niet 7 jaar support leveren op hun 10 euro kostende routertje wat op VXWORKS draait. Terwijl je daar nog steeds OpenWRT, DD-WRT, VyOS, OPNsense, PfSense of IPFire op zou mogen zetten, wat Cisco niet goed vindt als dat bij zo'n ASA 5505X zou doen.
Toch wel grappig dat mensen die het hardste roepen 'iedereen gelijk behandelen' het zelf eigenlijk dus nooit doen.
Deze domme rommel simpelweg niet kopen!
Deze domme rommel simpelweg niet kopen!
Misschien zoek je dan gewoon een monitor op groot formaat?
Deze domme rommel simpelweg niet kopen!
Kijk, dat maakt die auto toch amper dommer (want hoeveel wifi heb jij onderweg?): alleen updates had het wifi voor nodig, maar het scheelt kwetsbaarheden.
Moeten meer van die spullen doen. Alleen WiFi is needed even aanzetten.
Deze domme rommel simpelweg niet kopen!
Beamers is soms een tweede optie en misschien een DIY scherm met Raspberry als aanstuurcomputer.
Ook de Wifi-functie en ethernetkabel niet aansluiten op smart TVs helpt enorm, in plaats daarvan een eigen kastje aansluiten op de HDMI poort met een vrije en open besturingsysteem.
LG TVs met WebOS zijn best aardig als niet-vrij "slim" alternatief, AndroidTV zit vaak vol met bloatware, WebOS valt wel mee wat dat betreft.
Deze domme rommel simpelweg niet kopen!
Precies ja. Ik had een discussie met de ISO audit mensen hieromtrent en de grap is dat ik het apparaat niet als asset reken omdat het een beeldscherm is en geen TV en dus geen IT heeft. Ik update ze eenmalig uit de doos, stel de tijd in en daarna gaat BT en wifi uit. Top notch security als je 't mij vraagt. Enige upgrade zou zijn om de stekker er uit te laten :)
En ja een of andere grapjas zou een afstandsbediening mee kunnen nemen en de pin kunnen gokken etc. Maar dan nog kan het ding niet het netwerk in dus ik kan hier prima mee leven. Was alle IT maar zo simpel.
Zoals iemand al aangaf is er geen enkele reden waarom je die smart-tv aan moet sluiten op het internet. Je kan hem als domme monitor gebruiken.
Deze domme rommel simpelweg niet kopen!
Misschien zoek je dan gewoon een monitor op groot formaat?
Zoals iemand al aangaf is er geen enkele reden waarom je die smart-tv aan moet sluiten op het internet. Je kan hem als domme monitor gebruiken.
Maar ook de kijkafstand is erg belangrijk om de juiste grootte van het beeld te kunnen bepalen.
Vaak is het handiger om dichter bij een monitor te zitten, dan hebben mensen dezelfde ervaring als bij een grote TV op grotere afstand.
Maar een slimme TV kopen en die niet aansluiten op het internet kan ook altijd nog.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
