Dossier

Slimme toestellen en ons netwerk in huis: moeten we bang zijn voor hackers?

22 september 2023
hacker hacks hackable devices

22 september 2023
Van slimme videodeurbellen tot slimme speakers, de kans is groot dat je huis is uitgerust met slimme apparaten. Die bieden heel wat voordelen, maar soms heeft de fabrikant te weinig aandacht besteed aan de beveiliging. Dan zijn ze helaas ook makkelijke doelwitten voor cybercriminelen. Wij onderzochten slimme toestellen op hun cyberveiligheid.

Ons onderzoek bracht talrijke kwetsbaarheden aan het licht bij 17 slimme toestellen. Het ging daarbij om toestellen als een slimme videodeurbel, een slimme speaker, een slimme thermostaat of een robotstofzuiger. 

Toestellen met een slechte beveiliging kunnen niet alleen een risico betekenen voor je thuisnetwerk en de toestellen die ermee verbonden zijn, maar ook voor je privacy en zelfs de veiligheid van je woning. 

We onderzochten:

  • 10 producten van goedkope, minder bekende merken die we kochten via Amazon of AliExpress. 
  • 7 producten van grote, gereputeerde merken die op het moment van aankoop door de fabrikant niet meer werden ondersteund en in principe geen software-updates meer ontvingen. 

In een paar weken tijd stelde ons labo in totaal 61 kwetsbaarheden vast, waaronder 8 met een hoog risico en 4 die het labo als kritisch beoordeelde. Het gaat vooral om beveiligingsrisico's met verouderde software of kwetsbare wifiverbindingen.

Niet genoeg ondersteuning door de fabrikant

In tegenstelling tot traditionele producten gaan slimme apparaten maar zolang mee als de software wordt ondersteund, en jammer genoeg is het niet ongewoon dat een fabrikant de ondersteuning voor een product al enkele jaren na de lancering stopzet. 

Hoewel producten van goedkope merken doorgaans meer en ernstigere kwetsbaarheden vertonen, toont ons onderzoek aan dat ook populaire producten van bekende merken een beveiligingsrisico kunnen vormen, vooral als ze geen software-updates meer ontvangen.

Opvallend was dat de toestellen van de grote merken desondanks nog steeds verkrijgbaar bleken in populaire (web)winkels. Bovendien is het zeer aannemelijk dat veel van deze populaire apparaten, waarvan de meeste in grote aantallen zijn verkocht, nog steeds in vele huishoudens aanwezig zijn. 

Hoe kunnen jouw slimme toestellen gehackt worden?

Kwetsbare wifi

Alle apparaten die via wifi verbinding maken met het thuisnetwerk van een gebruiker, zijn vatbaar voor een aanval op het wifi-netwerk zelf (bv. een deauthentication-aanval). Het is dus niet zozeer een kwetsbaarheid van de toestellen zelf, maar van het wifinetwerk. Met de juiste tools kan een aanvaller een specifiek signaal naar een wifitoestel sturen waardoor die tijdelijk geen verbinding meer heeft en dus niet meer werkt. 

Voor sommige apparaten (wifiprinters, robotstofzuigers, slimme stekkers, enzovoort) is de impact beperkt en eerder vervelend dan onveilig te noemen. Voor andere apparaten (vooral beveiligingsapparatuur zoals IP-camera's, videodeurbellen en deursloten) is het risico groter, omdat een hacker zo’n aanval kan gebruiken om de beveiliging te omzeilen (bv. door meldingen van bewegingsdetectie te blokkeren).

Gebruikersnamen zoeken

Bij veel toestellen (8 van de 17) is ook “enumeratie van gebruikersnamen” mogelijk, vooral bij de apparaten van goedkope, onbekende merken (7 van de 10). De ernst van deze kwetsbaarheid op zichzelf is laag, maar het stelt een aanvaller in staat om het bestaan van een gebruiker vast te stellen en daardoor essentiële informatie te verkrijgen voor andere aanvallen. 

Met deze informatie kan een aanvaller phishingaanvallen lanceren, proberen verbinding te maken met een account door het wachtwoord te kraken of proberen bekende online gelekte wachtwoorden te gebruiken die gekoppeld zijn aan het e-mailadres van de gebruiker (indien die het hetzelfde wachtwoord gebruikt bij meerdere diensten).

Geen directe toegang vanop afstand 

Geen van de geteste apparaten en apps had een kwetsbaarheid die direct vanop afstand (bv. via het internet) zou kunnen worden uitgebuit. Dit betekent echter niet dat dit niet mogelijk zou kunnen zijn met één of meer van de geteste apparaten en apps. Met meer tijd en inspanning zouden dergelijke problemen mogelijk toch kunnen worden gevonden. 

Daarnaast heeft het labo bij sommige apparaten aangetoond dat externe toegang mogelijk zou kunnen zijn nadat eerst fysieke toegang tot het apparaat is verkregen of na in de buurt (bijvoorbeeld binnen wifi-bereik) te zijn geweest. Hoewel het risico op toegang vanop afstand in dat geval minder groot is, mag het geen excuus zijn voor fabrikanten om deze mogelijkheid open te laten.

Wat kun je zelf doen om je huis te beveiligen tegen hackers?

Zorgen voor een slimme maar ook veilige thuis

Hoe reageren de fabrikanten op onze vaststellingen?

Na ons onderzoek wilden we de fabrikanten op de hoogte te brengen van onze vaststellingen, zodat ze de problemen zouden kunnen oplossen. Voor vier fabrikanten vonden we niet eens contactinformatie. Vier andere reageerden nooit op onze berichten. Twee fabrikanten contacteerden we niet omdat het risico beperkt was.

Bij de overige fabrikanten was de respons wisselend, maar voor geen enkel toestel met matige tot ernstige en kritische kwetsbaarheden kunnen we met zekerheid zeggen dat de fabrikant zich engageert om de problemen zo goed mogelijk op te lossen. Meross beloofde om voor betere encryptie te zorgen, maar gaf niet aan wanneer dat zou gebeuren. Mercusys deed de meest concrete voorstellen ter verbetering, maar niet al hun voorstellen bleken een optimale oplossing voor de vastgestelde problemen.  

Fabrikanten moeten beveiliging serieus nemen

De gebrekkige feedback toont nog maar eens dat vele fabrikanten nog een hele weg af te leggen hebben, zowel voor een veiliger ontwerp als voor de opvolging van hun toestellen eens ze op de markt zijn.

Ook is het essentieel dat fabrikanten hun slimme producten zo lang mogelijk ondersteunen én dit bovendien duidelijk communiceren naar consumenten. Te vaak blijf je in het duister tasten wanneer je een slim product koopt.

Ook marktplaatsen moeten meer verantwoordelijkheid dragen

Bovendien moeten ook de marktplaatsen – waar veel van deze (onveilige) slimme producten worden verkocht – meer verantwoordelijkheid dragen. Het is niet ongebruikelijk dat merken komen en gaan op deze marktplaatsen en dat soms hetzelfde product met identieke kenmerken en specificaties onder een andere naam wordt verkocht.

Om deze reden pleiten wij ervoor dat marktplaatsen en (online) winkels ook aansprakelijk worden gehouden voor de veiligheidsproblemen van de producten die zij verkopen. Daarom moet de wetgeving effectief gelden voor elke plek waar consumenten slimme producten kopen.

Aanbevolen voor jou