Nieuws
Slimme apparaten moeten veiliger
26 juni 2020
Bij onze hacktest van 11 slimme apparaten vonden we maar liefst 36 kwetsbaarheden. Fabrikanten moeten méér doen om een betere veiligheid te garanderen. De oplossing is vaak een software-update, maar bij vele toestellen is het onduidelijk hoe lang de fabrikant die blijft voorzien.
Voor steeds meer toestellen kan je nu ook een “slimme” variant kiezen die je aan het internet kan hangen en via een app kan bedienen. Dit “Internet of Things” brengt echter ook veiligheidsrisico’s met zich mee, zo blijkt uit onze test.
11 toestellen, 36 kwetsbaarheden
Een kleine steekproef van slimme toestellen die we deze keer aan een veiligheidstest onderwierpen toont dat de digitale veiligheid nog steeds een heikel punt blijft: in totaal stelden we niet minder dan 36 kwetsbaarheden vast. En dat bij slechts 11 toestellen: 3 robotstofzuigers, 3 deursloten, 3 lampen en 2 deurbellen.
7 van de 11 producten hadden minstens één serieuze kwetsbaarheid. Dat wil zeggen: hackers kunnen die (relatief) makkelijk uitbuiten en zo bijvoorbeeld je persoonlijke gegevens stelen of fysieke toegang krijgen tot je woning.
We testten zowel toestellen van populaire of gereputeerde merken als toestellen van onbekende merken die je vaak enkel op online platformen als Amazon of AliExpress vindt, dikwijls voor een meer voordelige prijs dan die van A-merken. Twee ethische hackers van het Engelse cyberveiligheidsbedrijf SureCloud analyseerden gedurende een week grondig de verschillende toestellen. Ook een doctoraatsstudent van de Katholieke Universiteit Leuven (onderzoeksgroep COSIC) nam twee toestellen onder de loep.
Risico’s ernstiger bij onbekende merken
De ernst van de veiligheidsrisico’s (en doorgaans ook het aantal) bleek wel groter bij toestellen van een onbekend merk. De robotstofzuiger Coayu C560 bleek zo lek als een zeef: hackers kunnen makkelijk meekijken met de ingebouwde camera, ransomware uploaden, de robot als proxy gebruiken om kwaadaardig internetverkeer te maskeren of de robot simpelweg onbruikbaar maken.
Dat alles is mogelijk vanop afstand. Bovendien is de robot in feite een “wit product” dat door het bedrijf Robot Bona wordt gemaakt, zij verkopen bijvoorbeeld ook onder de merknaam Proscenic. Vermoedelijk gaat het om honderdduizenden toestellen die kwetsbaar zijn en bijvoorbeeld in een groot botnet kunnen opgenomen worden.
Ook een slim deurslot, de ZKTeco AL10DB, bleek op vele punten onveilig: er zijn tal van manieren waarop een hacker het deurslot zou kunnen ontgrendelen. De deurbel van Tosuny geeft dan weer je wifigegevens prijs. Een hacker met het juiste gereedschap kan snel toegang krijgen tot je thuisnetwerk en de toestellen die ermee verbonden zijn. Bij toestellen van grotere merken als Miele of Ezviz zagen we meer aandacht voor een goede beveiliging, maar een garantie is het niet. Ook zij laten nog steken vallen.
| Toestel | Product-categorie | Aantal kwetsbaar-heden | Aantal kwetsbaar-heden met hoge of kritische impact* | Aanval vanaf het internet** | Aanval via het lokale wifinetwerk of ander draadloos protocol** |
Aanval |
Aanval door fysieke toegang** |
| Coayu C560 | Robot-stofzuiger | 9 | 6 | Ja | Ja | Nee | Ja |
| ZKTeco AL10DB | Deurslot | 6 | 4 | Ja | Ja | Ja | Ja |
| Miele Scout RX2 Home Vision | Robot-stofzuiger | 6 | 1 | Nee | Ja | Nee | Ja |
| Trifo Ironpie M6 | Robot-stofzuiger | 5 | 1 | Ja | Ja | Nee | Ja |
| Ezviz DB1 | Deurbel | 3 | 1 | Ja | Ja | Nee | Non |
| Tosuny WiFi Doorbell Camera | Deurbel | 2 | 1 | Nee | Nee | Nee | Ja |
| Danalock V3 (met Danabridge) | Deurslot | 1 | 1 | Nee | Nee | Ja | Nee |
| Nuki Combo 2.0 | Deurslot | 2 | 0 | Nee | Ja*** | Nee | Nee |
| Lakes Wifi Bulb | Lamp | 1 | 0 | Nee | Ja | Nee | Nee |
| TP-Link Kasa KL110 | Lamp | 1 | 0 | Nee | Ja | Nee | Nee |
| Ikea TRADFRI (met verbindingshub) | Lamp | 0 | 0 | Nee | Nee | Nee | Beperkt |
* Dergelijke kwetsbaarheden kunnen hackers (relatief) makkelijk uitbuiten. Als ze dat doen, dan is de impact significant.
** Het gaat om risico's die de onderzoekers tijdens de testperiode (ongeveer een week) konden vaststellen. Dat betekent niet dat er niet nog meer risico's kunnen zijn. Vooral wanneer een hacker fysieke toegang heeft, is de kans heel reëel dat het toestel gehackt wordt, ook al heeft de hacker daar veel tijd voor nodig.
*** Enkel als ook de Nuki Bridge gebruikt wordt en iemand op de knop van de Bridge zou drukken.
Fabrikanten moeten meer doen
Samen met internationale partners dringen we aan op een betere wetgeving die minimale veiligheidseisen oplegt aan slimme toestellen. Verder moeten fabrikanten duidelijker communiceren over hoe lang je veiligheidsupdates mag verwachten en moeten ze zorgen voor een duidelijk contactpunt voor het melden van kwetsbaarheden. Vooral bij minder bekende fabrikanten is dat vaak een probleem.
Positief is dat, op één na, alle aangeschreven fabrikanten binnen een redelijke termijn antwoordden en te kennen gaven de vermelde kwetsbaarheden te bekijken. Slechts één van hen echter, Miele, heeft tot nog toe ook concreet toegezegd de voornaamste kwetsbaarheden te verhelpen. Robot Bona, fabrikant van robotstofzuigers, gaf ook aan stappen te ondernemen, maar bleef vaag zodat onduidelijk is of zij de problemen ook effectief zullen oplossen. We zullen de reacties van de andere fabrikanten nauwlettend opvolgen