Slimme toestellen en ons netwerk in huis: moeten we bang zijn voor hackers?
Ons onderzoek bracht talrijke kwetsbaarheden aan het licht bij 17 slimme toestellen. Het ging daarbij om toestellen als een slimme videodeurbel, een slimme speaker, een slimme thermostaat of een robotstofzuiger.
Toestellen met een slechte beveiliging kunnen niet alleen een risico betekenen voor je thuisnetwerk en de toestellen die ermee verbonden zijn, maar ook voor je privacy en zelfs de veiligheid van je woning.
We onderzochten:
- 10 producten van goedkope, minder bekende merken die we kochten via Amazon of AliExpress.
- 7 producten van grote, gereputeerde merken die op het moment van aankoop door de fabrikant niet meer werden ondersteund en in principe geen software-updates meer ontvingen.
In een paar weken tijd stelde ons labo in totaal 61 kwetsbaarheden vast, waaronder 8 met een hoog risico en 4 die het labo als kritisch beoordeelde. Het gaat vooral om beveiligingsrisico's met verouderde software of kwetsbare wifiverbindingen.
Niet genoeg ondersteuning door de fabrikant
In tegenstelling tot traditionele producten gaan slimme apparaten maar zolang mee als de software wordt ondersteund, en jammer genoeg is het niet ongewoon dat een fabrikant de ondersteuning voor een product al enkele jaren na de lancering stopzet.
Hoewel producten van goedkope merken doorgaans meer en ernstigere kwetsbaarheden vertonen, toont ons onderzoek aan dat ook populaire producten van bekende merken een beveiligingsrisico kunnen vormen, vooral als ze geen software-updates meer ontvangen.
Opvallend was dat de toestellen van de grote merken desondanks nog steeds verkrijgbaar bleken in populaire (web)winkels. Bovendien is het zeer aannemelijk dat veel van deze populaire apparaten, waarvan de meeste in grote aantallen zijn verkocht, nog steeds in vele huishoudens aanwezig zijn.
Hoe kunnen jouw slimme toestellen gehackt worden?
Kwetsbare wifi
Alle apparaten die via wifi verbinding maken met het thuisnetwerk van een gebruiker, zijn vatbaar voor een aanval op het wifi-netwerk zelf (bv. een deauthentication-aanval). Het is dus niet zozeer een kwetsbaarheid van de toestellen zelf, maar van het wifinetwerk. Met de juiste tools kan een aanvaller een specifiek signaal naar een wifitoestel sturen waardoor die tijdelijk geen verbinding meer heeft en dus niet meer werkt.
Voor sommige apparaten (wifiprinters, robotstofzuigers, slimme stekkers, enzovoort) is de impact beperkt en eerder vervelend dan onveilig te noemen. Voor andere apparaten (vooral beveiligingsapparatuur zoals IP-camera's, videodeurbellen en deursloten) is het risico groter, omdat een hacker zo’n aanval kan gebruiken om de beveiliging te omzeilen (bv. door meldingen van bewegingsdetectie te blokkeren).
Gebruikersnamen zoeken
Bij veel toestellen (8 van de 17) is ook “enumeratie van gebruikersnamen” mogelijk, vooral bij de apparaten van goedkope, onbekende merken (7 van de 10). De ernst van deze kwetsbaarheid op zichzelf is laag, maar het stelt een aanvaller in staat om het bestaan van een gebruiker vast te stellen en daardoor essentiële informatie te verkrijgen voor andere aanvallen.
Met deze informatie kan een aanvaller phishingaanvallen lanceren, proberen verbinding te maken met een account door het wachtwoord te kraken of proberen bekende online gelekte wachtwoorden te gebruiken die gekoppeld zijn aan het e-mailadres van de gebruiker (indien die het hetzelfde wachtwoord gebruikt bij meerdere diensten).
Geen directe toegang vanop afstand
Geen van de geteste apparaten en apps had een kwetsbaarheid die direct vanop afstand (bv. via het internet) zou kunnen worden uitgebuit. Dit betekent echter niet dat dit niet mogelijk zou kunnen zijn met één of meer van de geteste apparaten en apps. Met meer tijd en inspanning zouden dergelijke problemen mogelijk toch kunnen worden gevonden.
Daarnaast heeft het labo bij sommige apparaten aangetoond dat externe toegang mogelijk zou kunnen zijn nadat eerst fysieke toegang tot het apparaat is verkregen of na in de buurt (bijvoorbeeld binnen wifi-bereik) te zijn geweest. Hoewel het risico op toegang vanop afstand in dat geval minder groot is, mag het geen excuus zijn voor fabrikanten om deze mogelijkheid open te laten.
Wat kun je zelf doen om je huis te beveiligen tegen hackers?
Zorgen voor een slimme maar ook veilige thuis
Hoe reageren de fabrikanten op onze vaststellingen?
Na ons onderzoek wilden we de fabrikanten op de hoogte te brengen van onze vaststellingen, zodat ze de problemen zouden kunnen oplossen. Voor vier fabrikanten vonden we niet eens contactinformatie. Vier andere reageerden nooit op onze berichten. Twee fabrikanten contacteerden we niet omdat het risico beperkt was.
Bij de overige fabrikanten was de respons wisselend, maar voor geen enkel toestel met matige tot ernstige en kritische kwetsbaarheden kunnen we met zekerheid zeggen dat de fabrikant zich engageert om de problemen zo goed mogelijk op te lossen. Meross beloofde om voor betere encryptie te zorgen, maar gaf niet aan wanneer dat zou gebeuren. Mercusys deed de meest concrete voorstellen ter verbetering, maar niet al hun voorstellen bleken een optimale oplossing voor de vastgestelde problemen.
Fabrikanten moeten beveiliging serieus nemen
De gebrekkige feedback toont nog maar eens dat vele fabrikanten nog een hele weg af te leggen hebben, zowel voor een veiliger ontwerp als voor de opvolging van hun toestellen eens ze op de markt zijn.
Ook is het essentieel dat fabrikanten hun slimme producten zo lang mogelijk ondersteunen én dit bovendien duidelijk communiceren naar consumenten. Te vaak blijf je in het duister tasten wanneer je een slim product koopt.
Ook marktplaatsen moeten meer verantwoordelijkheid dragen
Bovendien moeten ook de marktplaatsen – waar veel van deze (onveilige) slimme producten worden verkocht – meer verantwoordelijkheid dragen. Het is niet ongebruikelijk dat merken komen en gaan op deze marktplaatsen en dat soms hetzelfde product met identieke kenmerken en specificaties onder een andere naam wordt verkocht.
Om deze reden pleiten wij ervoor dat marktplaatsen en (online) winkels ook aansprakelijk worden gehouden voor de veiligheidsproblemen van de producten die zij verkopen. Daarom moet de wetgeving effectief gelden voor elke plek waar consumenten slimme producten kopen.
Bij twee toestellen werden kritische kwetsbaarheden vastgesteld.
Wansview W9: 12 kwetsbaarheden
De meest zorgwekkende problemen werden gevonden bij een draadloze buitencamera van Wansview, een goedkoop apparaat (€ 60) dat te koop werd aangeboden op Amazon. Maar liefst 12 kwetsbaarheden werden ontdekt, waarvan 3 als kritisch werden beoordeeld.
Het meest verontrustende probleem is dat een aanvaller die fysieke toegang heeft tot de SD-kaart van de camera (of er een nieuwe in kan plaatsen) gemakkelijk volledige controle over het apparaat kan krijgen, niet alleen lokaal, maar ook later op afstand. Hoe kan dat? De aanvaller zou deze camera kunnen kopen, er malware op installeren en deze vervolgens terugsturen naar de winkel of hem cadeau doen.
Welk gevaar? De firmware kan gewijzigd worden om een kwaadaardige code toe te voegen, beveiligde informatie te stelen of videobeelden te onderscheppen.
Kavsumi IWO Ultra 3: gevoelige informatie is kwetsbaar
Ook de veiligheid van deze goedkope smartwatch (€ 40), gekocht via AliExpress, bleek problematisch. De bijbehorende app is kwetsbaar voor een “man-in-the-middle”-aanval. Bevindt een hacker zich op hetzelfde netwerk als de smartphone (waarop de app is geïnstalleerd) dan kan die de communicatie tussen de app en de servers makkelijk onderscheppen waardoor gevoelige informatie zoals het e-mailadres en wachtwoord van de gebruiker gestolen kan worden.
Producten met minstens één probleem
Bij vier andere slimme toestellen van onbekende merken werd minstens één ernstige kwetsbaarheid vastgesteld.
- Mercusys MR70X: Deze draadloze router gekocht op Amazon (€ 45), wordt geleverd met een zwak vooraf geconfigureerd wifi-wachtwoord. Dat wachtwoord bestaat slechts uit 8 cijfers, waardoor het in slechts enkele seconden kan worden gekraakt.
- Rehentronix: Deze slimme videodeurbel (€ 31, AliExpress) en de bijbehorende app communiceren veel gegevens onversleuteld via internet waardoor die gemakkelijk kunnen worden onderschept.
- Merkloos slim deurslot: Dit merkloze deurslot (€ 105, AliExpress) maakt gebruik van badges (waarmee gebruikers hun deur kunnen openen) die gemakkelijk kunnen worden gekloond.
- Veidoo V88: Deze kindertablet (€ 55, Amazon) is vatbaar voor een Android-kwetsbaarheid die al in 2020 werd ontdekt (Strandhogg). Hierdoor kan een valse app een nep-inlogpagina weergeven over een andere app heen. Op die manier kunnen ze vertrouwelijke informatie stelen.
Bij een aantal andere goedkope slimme apparaten werden nog kwetsbaarheden met een “gemiddelde ernst” vastgesteld. Het gaat voornamelijk om potentiële problemen als gevolg van een gebrek aan versleuteling, zwakke authenticatie of zwakke standaardinstellingen. Het uiteindelijke risico is matig. Maar dit zijn tekenen van slordig programmeren die kunnen en moeten worden vermeden.
Ook populaire slimme apparaten kunnen een beveiligingsrisico vormen
Het zijn niet alleen goedkope merken die een veiligheidsrisico kunnen inhouden. Dat bleek ook zo voor slimme toestellen van grote technologiebedrijven. Dit is vooral zorgwekkend omdat de producten uit onze test niet meer worden ondersteund en in principe geen software-updates meer ontvangen.
- Samsung Galaxy Note 9: Dezelfde kwetsbaarheid als bij de Android-kindertablet (Strandhogg) bleek ook aanwezig bij deze smartphone van Samsung (€ 499). Het probleem is opgelost in Android 11 of latere versies, maar in oudere versies (tot versie 10) bestaat de kwetsbaarheid nog steeds.
- Xiaomi Mi Robot Vacuum-Mop 1C: Deze robotstofzuiger (€ 265) heeft een fysieke aansluiting (“UART”) die gemakkelijk toegankelijk is en waarmee een aanvaller volledige controle over de robotstofzuiger kan krijgen.
- Asus RT-AC85P: Deze draadloze router (€ 75) heeft verschillende kwetsbaarheden. De firmware bevat verouderde softwareversies met bekende kwetsbaarheden. Een probleem is bijvoorbeeld dat de router een lokale webinterface zonder versleuteling gebruikt, waardoor een aanvaller op hetzelfde netwerk inloggegevens kan stelen. De router heeft daarnaast standaard UPnP ingeschakeld. UPnP kan onder bepaalde omstandigheden een risico vormen omdat het de deur openzet naar toestellen op het netwerk (een hacker zou bv. vanop afstand de videostream van een beveiligingscamera kunnen bekijken).
- TP-Link HS100: Deze slimme stekker is al enkele jaren op de markt (€ 35). Iedereen op het lokale netwerk kan commando’s naar de stekker sturen (bijvoorbeeld om de stekker in of uit te schakelen). En tijdens de installatie kunnen gevoelige gegevens (gebruikersnaam en wachtwoord van het wifinetwerk, e-mailadres en wachtwoord van het TP-Link-account) gemakkelijk worden onderschept.
- Amazon Echo Dot: Dit is een populaire slimme speaker met de spraakassistent Alexa. We hebben de tweede generatie getest (€ 35), die nog steeds vatbaar is voor de “Alexa vs. Alexa”-aanval: iedereen in de buurt kan geluidsbestanden naar de speaker sturen die commando's bevatten die vervolgens worden uitgevoerd door de speaker. Het kan worden gebruikt om andere verbonden apparaten in het thuisnetwerk te bedienen, bijvoorbeeld om deuren te ontgrendelen of ongeautoriseerde aankopen te doen.
- Arlo VMS3130: Deze draadloze beveiligingscamera (€ 175) heeft over het algemeen een goede beveiliging. Bij een zogenaamde wifi-deauthenticatieaanval, waarbij de camera offline gaat, waarschuwt de app echter de gebruiker niet en zijn er ook geen meldingen of opnames van gebeurtenissen.