Nieuws

Let op voor digitale dieven

26 augustus 2021

Een deurbel die je wifiwachtwoord prijsgeeft, een robotstofzuiger die onversleuteld een plattegrond van je woonkamer doorstuurt of een babyfoon die vanop afstand over te nemen is. Bij 16 smart home-apparaten vonden we 54 kwetsbaarheden. Nog maar eens blijkt dat vele slimme toestellen een loopje nemen met je privacy.

16 slimme apparaten, 54 kwetsbaarheden

Bij een veiligheidstest van 16 slimme apparaten identificeerden we maar liefst 54 kwetsbaarheden. We testten producten uit uiteenlopende categorieën: van slimme deurbellen en -sloten, over slimme robotstofzuigers en keukenrobots tot slimme babyfoons en zelfs een seksspeeltje. We kochten voor de meeste categorieën zowel een duurder exemplaar van een meer gereputeerde fabrikant als een goedkoop exemplaar van een onbekend merk dat je vooral op online platformen als Amazon of AliExpress aantreft.

Voor de test werkten we samen met twee onderzoekers van de KU Leuven (onderzoeksgroep COSIC): één van hen onderzocht de toestellen op het vlak van veiligheid. De andere onderzoeker hield gedurende anderhalve maand de datastromen in de gaten: waar sturen de toestellen en apps gegevens naar toe? Welke gegevens? En worden ze op een veilige manier verstuurd?  

Goedkope toestellen vaker slecht beveiligd

Een veiligheidslek in een toestel betekent niet noodzakelijk dat je als gebruiker meteen risico loopt. Soms is het weinig waarschijnlijk dat een hacker effectief ook het veiligheidslek zal misbruiken, of is de impact beperkt als dat toch gebeurt. Maar bij 14 van de 54 vastgestelde kwetsbaarheden spreken de onderzoekers toch om een “kritisch” of “heel ernstig” probleem. Verontrustend is dat 10 van de 16 apparaten zo’n kritische of ernstige kwetsbaarheid bleek te hebben. Die zagen we vaker bij de goedkope toestellen.

Bij duurdere toestellen van meer gereputeerde fabrikanten zagen we doorgaans minder ernstige problemen, maar een garantie is het niet. Een dure babyfoon van Motorola (Comfort Connect 85) bleek bijvoorbeeld heel slecht beveiligd.

Veel onversleuteld dataverkeer

Buiten zwakheden in het toestel of de bijhorende app, zagen we ook dat vele toestellen persoonlijke gegevens zonder versleuteling het internet op stuurden. Concreet ging het daarbij vaak om wifiwachtwoorden, unieke toestelcodes, serienummers, e-mailadressen ed. Het risico is dat hackers die gegevens dan makkelijk kunnen onderscheppen en eventueel kunnen gebruiken om andere kwetsbaarheden uit te buiten. Niet alleen je persoonlijke gegevens liggen dus te grabbel, het wordt hackers ook makkelijker gemaakt om je toestellen aan te vallen.

Bereikbaarheid fabrikanten blijft een pijnpunt

Na de test hebben we de fabrikanten van de problemen op de hoogte gesteld. Zes van hen reageerden niet, telkens fabrikanten die hier niet bekend zijn en vanuit niet-Europese landen opereren (Ikohs, Tenda, Proscenic, 360 Eyes, Raykube en de fabrikant van de merkloze deurbel). Sowieso is het dan een uitdaging om een contactpersoon te vinden. Bij grotere fabrikanten gaat dat vaak makkelijker, maar ook bij hen is het soms een hele zoektocht naar het juiste meldpunt.

De meeste fabrikanten die wel reageerden gaven aan de problemen te willen aanpakken, al blijft het onzeker of zij in de praktijk de problemen daadwerkelijk ook zullen oplossen.

We blijven daarom strijden voor een betere regelgeving die fabrikanten aansprakelijk moet kunnen stellen voor de digitale veiligheid van hun producten.

Lees onze veiligheidseisen in ons dossier over je huis beschermen tegen hackers (onderaan de eerste pagina).

User name

Deelnemen aan de discussie

Deelnemen door een vraag of reactie achter te laten

10 reacties

sorteer op :

Meld je aan om toegang te krijgen.

02/09/2021

Zwakste punten in huis?

Meld je aan om toegang te krijgen.

06/09/2021
, Gereageerd:

Hallo Jan, daar is geen eenvoudig antwoord op te geven. Wat het extra ingewikkeld maakt, is dat je als consument zelf vaak helemaal niet kunt weten of je slimme deurbel of babyfoon veilig is of niet. En dat je zelf er niet altijd iets aan kunt doen. In het geval van zwakke standaardwachtwoorden, kan je zelf wel nog het initiatief nemen en een sterker wachtwoord instellen. En er zijn wel nog een aantal andere zaken waarop je kunt letten (zie de tips hier). Maar in veel gevallen gaat het om ondoordacht programmeerwerk of slordigheden die enkel de fabrikant kan rechttrekken. Als gebruiker kan je dan alleen maar hopen dat er een software-update beschikbaar komt die het probleem kan oplossen. ^An 

Meld je aan om toegang te krijgen.

02/09/2021

Kan TestAankoop geen lijstje bijhouden/publiceren van onbetrouwbare apparaten en leveranciers van smart-home toestellen. Past toch in uw kraam, dacht ik?

Meld je aan om toegang te krijgen.

06/09/2021
, Gereageerd:

Dag Paul, je kan ons altijd je toestel melden dat te rap kapot gegaan is via ons centraal meldpunt (we houden dat inderdaad bij): https://terapkapot.be/  . Daar kan je een melding maken met de precieze referentie van je toestel. Op die manier help je ons om het probleem van #geplandeveroudering in kaart te brengen. 

Meer info over hoe oud een toestel moet worden voordat je een nieuwe koopt? Of vanaf welke ouderdom het repareren ervan geen zin meer heeft? Dat vroegen we aan onze leden en hun antwoord toetsten we aan het oordeel van onze experts, via deze link kan je het lezen: https://www.test-aankoop.be/huishoudelektro/wasmachines/dossier/hoelang-gaat-een-toestel-mee ^An 

Meld je aan om toegang te krijgen.

01/09/2021

Als iemand dergelijke gebreken vaststelt door een ernstige organisatie of een erkend labo moet de wettelijke mogelijkheid gemaakt worden om de invoer en verkoop te verbieden door bvb het ministerie van Financien in te lichten
Ook kan justitie bijdragen tot het bestraffen van dergelijke verkopen
Wedden dat het helpt!!!

Meld je aan om toegang te krijgen.

01/09/2021

Daarom alleen al dat je beter een specifiek gmail account aanmaakt voor alles wat IOT devices aangaat en ze daarna op een apart (wifi) netwerk aansluit op een bijkomende afzonderlijke router die buiten de IP range staat van je andere netwerk verkeer.

Meld je aan om toegang te krijgen.

15/09/2021
, Gereageerd:

Slimme apparaten zullen wellicht nooit afdoende veiligheid bieden. Op iedere soft- of firmware komt na verloop van tijd een veiligheidsupdate beschikbaar -zo zou het moeten zijn althans. Grote merken bieden daarin meer ondersteuning.
Voor wat het standpunt van Stoffel betreft; voor nog geen 100€ zet je makkelijk een parallel netwerk met WiFi op die volledig van je thuisnetwerk afgeschermd is en waar je al je slimme toestellen kunt "aanhangen".

Meld je aan om toegang te krijgen.

02/09/2021
, Gereageerd:

Lijkt me wel een vrij omslachtige ingreep! Een normaal huisnetwerk is al behoorlijk moeilijk in orde te houden, laat staan zo'n serie aparte netwerken bovenop. Ik denk dat betrouwbare apparaten/leveranciers gebruiken het geheel beheerbaar-der houdt Stoffel.

Meld je aan om toegang te krijgen.

01/09/2021
, Gereageerd:

Gewoon een ander subnet kiezen bij je huidig netwerk zal wellicht ook al volstaan en bespaart je de kosten van extra HW en configuratie

Meld je aan om toegang te krijgen.

01/09/2021
, Gereageerd:

Laptoppen