IoT - Internet of Things

Het hele doel van fitnesswearables en smartwatches is om zoveel mogelijk data te registeren, zodat je een goed beeld krijgt van je algehele gezondheid. Maar wat wordt er zoal met die gegevens gedaan? We kijken naar het privacybeleid van Garmin om daar een indruk van te geven...

...Eindoordeel 

Het privacybeleid van Garmin is overzichtelijk en duidelijk. Garmin informeert per type persoonsgegeven dat het verwerkt, uitgebreid over de grondslag daarvoor en het doel. Ook de door Garmin aangeboden producten en diensten lijken zo privacyvriendelijk mogelijk te zijn ingesteld. Dat is ook van groot belang nu de smartwatches van Garmin een variatie aan gezondheidsgegevens verwerken.

Er zijn tenslotte ook een aantal aandachtspunten. Zo zou Garmin de grondslag voor doorgiften naar de VS moeten heroverwegen. Het Privacy Shield is namelijk ongeldig verklaard. Garmin deelt data met overige derden, maar specificeert niet duidelijk genoeg wie onder deze categorie vallen.

Alles bij de bron; PCM-Web


 

Van smartphones en slimme speakers is het inmiddels bekend dat zij toegang geven tot gevoelige persoonlijke informatie. Veel minder bekend is dat de moderne auto een doos vol snoepjes is voor criminelen en opsporingsdiensten op zoek naar locatiegegevens, activiteiten en informatie uit gesprekken.

Auto's blijken heel veel informatie vast te leggen, bijvoorbeeld locatiegeschiedenis, de ID's van telefoons en andere apparatuur met wifi of Bluetooth, maar ook wanneer specifieke deuren worden ontgrendeld en gesloten, welke gordels zijn gesloten en welke lichten aan waren De boordcomputer slaat in de logs gegevens op over gesprekken die via de telefoon zijn gevoerd, tekstberichten en contacten uit het telefoonboekje van gekoppelde telefoons en van uitgesproken spraakcommando's. Het navigatiesysteem onthoudt opgeslagen bestemmingen en houdt een log bij van recente GPS-locaties en snelheden.

Het gebruik van voertuigdata is geen uitzondering in de VS. NBC News wijst op een nieuwe tak bij de recherche genaamd digital vehicle forensics, volledig gericht op het extraheren van zo veel mogelijk bewijslast uit vervoersmiddelen. Ook voor commerciële bedrijven blijkt dit een gat in de markt, zoals voor Berla Corp. een technologiebedrijf dat zich heeft gespecialiseerd in het digitaal ontsluiten van inmiddels 14.000 autotypen. 

Maar de gegevens worden niet alleen bij opsporingsdiensten gebruikt. NBC haalt ook een voorbeeld aan van een Australische man die zijn ex-vriendin in de gaten hield via een app waarmee hij live gegevens uit haar Land Rover kon ophalen. Hij was zelfs in staat op afstand ramen en deuren te openen en sluiten.

Bij zorgen rondom privacy denken mensen nog vrijwel alleen aan smartphones en pc's. Bij apparatuur met embedded computers - zoals er vele zitten in auto's, maar ook in andere 'slimme'-apparatuur - is dat besef er nog nauwelijks. Het gevolg is dat de gegevens - die vaak voor functionele controle worden bewaard - onvoldoende beschermd zijn tegen gebruik met een ander achterliggend doel. Misschien verstandig om eens over na te denken bij het inruilen van de auto of het synchroniseren van de smartphone in een huurauto.

Alles bi de bron; AGConnect


 

Onderzoekers hebben in elf deurbelcamera's die via Amazon, eBay en Wish worden aangeboden kwetsbaarheden ontdekt waardoor een aanvaller onder ander het wifi-wachtwoord kan stelen of beelden kan onderscheppen. 

Bij alle elf de apparaten ontdekten de onderzoekers problemen. Zo wordt bijvoorbeeld bij de Victure VD300 de naam van het wifi-netwerk en wachtwoord onversleuteld naar servers in China verstuurd. De Qihoo 360 Smart Video Doorbell slaat beelden onversleuteld op.

De Ctronics CT-WDB02 deurbelcamera maakt het mogelijk voor aanvallers om het wifi-wachtwoord te stelen. Een kwetsbaarheid in de V5 Wifi deurbelcamera zorgt ervoor dat een aanvaller zijn telefoon aan het apparaat kan koppelen om die vervolgens uit te schakelen. 

Alles bij de bron; Security


 

Massachusetts neemt een wet aan die autofabrikanten verplicht telemetriegegevens van auto's uitleesbaar te maken. Iedereen moet deze gegevens kunnen gebruiken om het voertuig te repareren.

Autofabrikanten zijn volgens de nieuwe wet vanaf 2022 verplicht een standaard open dataplatform te implementeren in voertuigen. Dit platform geeft voertuigeigenaren en onafhankelijke onderhoudsspecialisten de mogelijkheid telemetriegegevens op te vragen. Deze informatie wordt vaak direct naar een server van de autofabrikant gestuurd.

Telemetriegegevens ondersteunen de data monteurs bij het uitvoeren van reparaties. Door deze data in eigen handen te houden kunnen fabrikanten reparaties door derde partijen bemoeilijken. Met de nieuwe wet wil Massachusetts dit voorkomen.

Alles bij de bron; DutchIT


 

Op dit moment zijn er naar schatting wereldwijd twintig tot dertig miljard Internet of Things-apparaten met het internet verbonden. Een aantal dat in 2025 mogelijk zal zijn gestegen naar vijftig tot honderd miljard. Als samenleving staan we echter niet voldoende stil wat de impact hiervan is op onze privacy en security en hoe het voor een groter aanvalsoppervlak tegen netwerken en systemen zorgt, zo stelt de Amerikaanse geheime dienst NSA.

"Als samenleving denken we niet na over hoe IoT-apparaten onze gevoelige informatie verzamelen of operaties verstoren", aldus de NSA. Nu er steeds meer thuis wordt gewerkt is het voor organisaties nodig om proactief te zijn en stappen te nemen om medewerkers die vanuit huis werken te beschermen, zo gaat de geheime dienst verder.

Volgens de NSA moeten mensen hiervoor wel hun gedrag aanpassen. "Om onze persoonlijke informatie en data te beschermen is het belangrijk dat we anders met technologie en IoT omgaan." Zo moeten alle beveiligingsfeatures up-to-date en geüpdatet zijn. Verder moet voor elk aangeschaft product de gebruikersovereenkomst worden gelezen, zodat duidelijk is welke informatie het apparaat verzamelt.

Als laatste moeten gebruikers bewust zijn dat de IoT-wereld continu aan het veranderen is. "Als gebruiker van technologie is je voornaamste doel om altijd je persoonlijke informatie te beschermen door proactief en waakzaam te zijn", besluit de geheime dienst de oproep.

Bron; Security


 

De Google Assistent krijgt een gastmodus. Zodra je deze aanzet slaat de digitale butler geen persoonlijke gegevens van jou en je gasten op. De nieuwe functie rolt in de komende weken uit voor alle apparaten met de Google Assistent. 

De nieuwe modus wordt geactiveerd via een stemcommando en zorgt ervoor dat de inhoud van je verzoeken vergeten worden, net als bijvoorbeeld de incognitomodus van je browser. Verder maakt de gastmodus van de Google Assistent geen gebruik van persoonlijk opgeslagen informatie, zoals je agenda-afspraken. 

De nieuwe gastmodus werkt straks op alle apparaten met een Google Assistent, waaronder speakers (als de onlangs verschenen Nest Audio) en slimme schermen, zoals de Nest Hub. Google rolt de gastmodus “in de komende weken” uit, zonder een specifieke datum te noemen. Het bedrijf laat eveneens in het midden wat voor specifiek stemcommando je moet gebruiken om ‘privacystand’ aan te zetten. 

Alles bij de bron; AndroidPlanet


 

Door een fout in het beveiligingssysteem van een digitale kuisheidsgordel, kan een hacker ineens de controle over de edele delen van een man overnemen. Het seksspeeltje kan op afstand worden vergrendeld en dan is het geslachtsdeel van de mannelijke gebruiker er met geen mogelijkheid uit te krijgen. 

Cellmate is ontwikkeld door het Chinese bedrijf Qiui. Een man kan er zijn geslachtsdeel in schuiven. Vervolgens wordt het elektronische apparaat vergrendeld. De kuisheidsgordel kan alleen ontgrendeld worden met behulp van Bluetooth of via een app op de smartphone. Er is dus geen fysieke sleutel of de mogelijkheid het apparaat met de hand te openen.

Onderzoekers uit Groot-Britannië ontdekten verschillende kwetsbaarheden in het beveiligingssysteem. „We ontdekten dat hackers op afstand kunnen voorkomen dat het Bluetooth-slot wordt geopend, waardoor het geslachtsdeel van de gebruiker vast komt te zitten in het apparaat.” Volgens de onderzoekers kan in dat geval alleen een slijptol of ander geschikt gereedschap nog uitkomst bieden.

Door het lek kunnen de hackers ook persoonlijke gegevens van de gebruikers inzien. Het Chinese Qiui is in april al op de hoogte, maar gebruikers van de oudere versies van het digitale apparaat blijven kwetsbaar.

Alles bij de bron; Telegraaf


 

Een koffiemachine van het merk Smarter waarvan het beeldscherm meldt: "Want your machine back?" met een bitly-adres dat naar een betaalsite leidt. Martin Hron - een onderzoeker bij IT-beveiliger Avast - zocht uit wat er mogelijk was bij het hacken van een met internet verbonden koffiezetapparaat. "Firmware is de nieuwe software, en die software zit vaak vol fouten", is zijn waarschuwing bij de trend allerlei apparatuur 'smart' te maken door ze aan het internet te hangen...

...Het grote probleem is dat producenten van 'slimme' apparaten zoals huishoudapparatuur willen dat het gebruik zo simpel mogelijk is en gebruiksgemak gaat vaak niet samen met beveiliging. Ook in dit geval maakte de koffiemachine gelijk na de eerste keer aanzetten een eigen wifi-netwerkje waarmee de gebruiker via een app een aantal instellingen kan aanpassen. Het protocol dat de fabrikant daarvoor heeft ingebakken bevat vrijwel geen bescherming in de vorm van versleuteling, autorisatie of authenticatie.

Uiteindelijk slaagde Hron er in vanaf het internet de complete firmware te vervangen.

Alles bij de bron; AGConnect


 

Meer dan een half miljoen Nederlandse huishoudens zouden inmiddels gebruikmaken van een slimme deurbel. Daarmee is het aantal slimme deurbellen in Nederland sinds 2018 verdubbeld, stelt het marktbureau. De helft van al deze apparaten zou zijn gemaakt door Amazon-dochterbedrijf Ring.

Het aantal huishoudens met een beveiligingssysteem is gegroeid naar 18 procent, ten opzichte van 15 procent in 2018. Het populairst is de beveiligingscamera, die in een op de tien huishoudens te vinden is. Volgens de onderzoekers hebben Nederlanders in het afgelopen jaar 183 miljoen euro besteed aan slimme beveiligingscamera's. In totaal werd 550 miljoen euro uitgegeven aan beveiligingssystemen.

Multiscope onderzoekt vaker technologie en de impact hiervan in Nederland. Het bedrijf merkte eerder dit jaar op dat Nederlanders voor in totaal 2,5 miljard euro aan smarthomeapparaten in huis hebben staan.

Alles bij de bron; NU


 

Fabrikant van bluetooth-deursloten U-Tec heeft van een onbekend aantal gebruikers de data gelekt waarmee hun deuren op afstand waren te openen.

Deze firma levert Ultraloq-sloten die op afstand zijn te bedienen. De sloten kunnen via een vingerafdruk, code en smartphone worden geopend. De Ultraloq werkt via het MQTT-protocol (Message Queuing Telemetry Transport) dat wordt gebruikt om smart home-apparaten mee te bedienen en met elkaar te laten verbinden. Daarbij loopt de communicatie tussen de gebruiker en het slot via een MQTT-server.

In het geval van U-Tec was hun MQTT-server voor iedereen op internet toegankelijk en geïndexeerd door zoekmachine Shodan. Doordat er geen authenticatie werd gebruikt was het mogelijk om data op de server op te vragen. Via Shodan ontdekte Young de server. Die bleek de e-mailadressen, lokale mac-adressen, publieke ip-adressen en ontgrendelcodes van gebruikers te bevatten.

Vervolgens ontdekte Young dat het mogelijk was om de data opnieuw af te spelen, waardoor een aanvaller op afstand het deurslot zou kunnen openen. "Wanneer iemand ooit de deur met de U-Tec-app opendoet, zal de aanvaller het token in handen krijgen om de deur op elk willekeurig moment te openen." Aan de hand van het ip-adres zou het mogelijk zijn om de locatie van gebruikers te achterhalen. Daarnaast blijkt het slot ook het lokale mac-adres uit te zenden wat een aanvaller zou kunnen helpen.

Volgens de onderzoeker gaat het probleem verder dan alleen deursloten en hebben tal van bedrijven hun MQTT-server niet beveiligd waardoor misbruik op de loer ligt.

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha