Een kwetsbaarheid in een dealerportaal van Kia maakte het mogelijk om miljoenen auto's van de fabrikant over te nemen.
Kia biedt bij verschillende modellen Kia Connect, waarmee het bijvoorbeeld mogelijk is om de auto op afstand via een app te openen en starten. Hiervoor moet een voertuigidentificatienummer (VIN of chassisnummer) worden gekoppeld aan een account. Dealers kunnen dit via een speciaal dealerportaal voor hun klanten doen, waarbij een voertuig op basis van het VIN-nummer aan een klantaccount wordt gekoppeld. Klanten moeten zich daarnaast via een aparte klantensite bij de autofabrikant registreren.
De onderzoekers ontdekten dat ze zich via het HTTP-request waarmee Kia-eigenaren zich bij de autofabrikant kunnen registreren zich ook als dealer kunnen registreren. Vervolgens was het mogelijk om via de dealerportaal informatie van Kia-eigenaren op te vragen, zoals naam, telefoonnummer en e-mailadres. Daarna konden de onderzoekers de eigenaar onteigenen en zichzelf eigenaar van de betreffende Kia maken en zo via de app bedienen.
Eigenaren kregen geen bericht dat er toegang tot de auto was verkregen of dat hun toegangspermissies waren aangepast.
Alles bij de bron; Security
Iets meer dan zestig procent van de Nederlanders heeft thuis een 'slimme' water-, gas- of elektriciteitsmeter die op afstand of via een app is uit te lezen, zo stelt het Centraal Bureau voor de Statistiek (CBS).
In 2020 was dit nog het geval bij 59 procent van de Nederlanders. De afgelopen vier jaar is het aandeel met slechts twee procent toegenomen.
Ruim vier op de tien Nederlanders gebruiken een virtuele assistent, zoals Siri, Google Home, Amazon Alexa, Bixby, via een app of een 'slim' audiosysteem.
Deelnemers die geen 'slimme' apparatuur thuis hebben staan werden ook gevraagd wat hiervoor de reden was. 83 procent geeft aan hier geen behoefte aan te hebben. 23 maakt zich zorgen privacy en beveiliging en één op de vijf vindt 'slimme' apparatuur te duur.
Alles bij de bron; Security
Het Witte Huis en afgevaardigden van de Europese Unie, andere landen en 'industrieleiders' zijn deze week in de VS bijeengekomen om te praten over de risico's voor de staatsveiligheid van met internet verbonden auto's. Er werd gesproken over de data- en cybersecurityrisco's van connected cars en bepaalde onderdelen.
De deelnemende landen bevestigden dat connected cars een steeds grotere rol in de vitale infrastructuur spelen, omdat ze verbonden zijn met andere voertuigen, persoonlijke apparatuur, telecomnetwerken, het elektriciteitsnet en andere infrastructuur, zo meldt het Amerikaanse ministerie van Buitenlandse Zaken.
De Office of the Director of National Intelligence (ODNI) had connected cars eerder nog "smartphones op wielen" genoemd en beschreef verschillende risico's, waaronder het stelen van persoonlijke informatie, volgen van personen en zelfs het 'hacken' van auto's.
"De meeste auto's vandaag de dag zijn connected - het zijn net smartphones op wielen. Deze auto's zijn verbonden met onze telefoons, navigatiesystemen, vitale infrastructuur en met de bedrijven die ze hebben gemaakt. Deze voertuigen kunnen op afstand worden benaderd en uitgeschakeld", waarschuwde president Biden eerder dit jaar.
De Verenigde Staten en 'like-minded' landen zijn deze week overeengekomen dat ze naar mogelijkheden gaan kijken voor het invoeren van cybersecurity-standaarden voor auto's en het coördineren van beleidsmaatregelen om de risico's van connected cars tegen te gaan.
Alles bij de bron; Security
Slimme verkeerslichten die contact maken met de telefoons van weggebruikers brengen privacyrisico's met zich mee waar de overheid waarschijnlijk niet goed over heeft nagedacht. Daarvoor waarschuwt de Autoriteit Persoonsgegevens, die wil weten of de verkeerslichten voldoen aan de privacywetgeving.
De slimme verkeerslichten maken - veelal zonder mensen dat weten - contact met (verkeers)apps op smartphones van weggebruikers. De verkeerslichten meten niet alleen hoeveel verkeer er langsrijdt, maar kunnen "volledige ritten in kaart brengen, inclusief datum, tijd en snelheid".
Daardoor is het zelfs mogelijk personen te identificeren, waarschuwt de Autoriteit Persoonsgegevens (AP). "Dit kan waardevolle informatie zijn voor kwaadwillenden. De kans op zogenaamde hacks valt dan ook niet te onderschatten."
Volgens de AP is niet altijd duidelijk wie verantwoordelijk is voor het verzamelen en gebruiken van de gegevens en met wie ze precies gedeeld worden. De toezichthouder heeft het ministerie in 2021 al eens gewezen op de gevaren en ziet nog altijd onzorgvuldigheden, terwijl de slimme verkeerslichten steeds vaker geplaatst worden. Daarom doet de AP nogmaals een klemmend beroep op demissionair minister Mark Harbers (Infrastructuur en Waterstaat) om uit te zoeken of de verkeerslichten voldoen aan de privacywetgeving.
Alles bij de bron; NU
Consumenten worden vaak niet goed ingelicht over wat een slim apparaat precies doet. Ook ontbreekt informatie over in welke omgeving het product werkt en waar het mee kan samenwerken. Dat concluderen de Autoriteit Consument & Markt (ACM) en de Rijksinspectie Digitale Infrastructuur (RDI) in een gezamenlijk onderzoek.
De ACM en RDI baseren hun conclusie op een steekproef met vijftien slimme apparaten. Daar vallen huishoudelijke apparaten onder, zoals slimme verlichting, babyfoons, televisies, thermostaten en wasmachines. Uit het onderzoek blijkt dat het vooral misgaat bij de meegeleverde apps die slimme apparaten gebruiken.
Met de uitkomsten willen de toezichthouders de basis leggen voor hun toezicht op slimme apparaten.
Alles bij de bron; NU
Deurbelcamera's van fabrikant Eken, die ook onder allerlei andere namen worden verkocht, zijn zeer eenvoudig door kwaadwillenden over te nemen, die daarna ermanent met beelden van de videofeed kunnen meekijken. Het enige dat een aanvaller hoeft te doen is een account aanmaken via de Aiwit-app.
Vervolgens kan de aanvaller naar de deurbelcamera van zijn slachtoffer gaan en de bel indrukken om de pairingmode te starten. Vervolgens is het mogelijk om de deurbel met een wifi-netwerk te verbinden en het apparaat zo volledig over te nemen. Daarna is het mogelijk om live met de camera mee te kijken. Ook kan de aanvaller dan het serienummer van de camera achterhalen.
De oorspronkelijke eigenaar krijgt, wanneer een aanvaller zijn telefoon aan de deurbelcamera koppelt, bericht dat hij geen toegang meer heeft. Door zijn telefoon opnieuw te pairen is het mogelijk voor de eigenaar om de controle weer terug te krijgen. Een probleem is echter dat een aanvaller met het achterhaalde serienummer van de deurbelcamera beelden van de videofeed kan blijven bekijken, ook al is zijn telefoon niet meer gepaird. Hiervoor is geen account of wachtwoord vereist en de eigenaar krijgt hier geen melding van.
Tevens blijkt dat de deurbelcamera's ook het ip-adres en wifi-netwerknaam onversleuteld naar het internet versturen. De camera's worden in allerlei webshops en op online marktplaatsen aangeboden, ook in Nederland. De Android-app van Eken is meer dan een miljoen keer gedownload. De problemen zijn bij de deurbelcamerafabrikant aangemeld, maar er is geen reactie op ontvangen.
Alles bij de bron; Security
Recentelijk verscheen in de VS een nieuw apparaat, de AI-pin, volgens de bedenkers de opvolger van de smartphone. Je bevestigt het apparaatje op je jas of je trui en het heeft allerlei functies die je ook van je smartphone gewend bent en is daarnaast een persoonlijk af te stemmen digitale assistent.
Het heeft geen scherm, maar een projector. De bediening gaat via je stem. Door je hand als een klein projectscherm voor je uit te strekken, kan op je hand het beeld worden geprojecteerd.....
.....Het gebruik van de AI-pin heeft ook een keerzijde, namelijk het verder aantasten van onze privacy. Sterker nog: het is een echte privacy-killer. Waarbij het recht op privacy iemands recht is om met rust te worden gelaten en over het recht op je eigen informatie, niet over het verbergen van geheimen.
Met de AI-pin kun je gemakkelijk ongevraagd mensen filmen bijvoorbeeld in een supermarkt, bij alles wat ze doen en kopen, niemand die het merkt. We zeggen privacy heel belangrijk te vinden, maar we handelen er vaak niet naar. Laten we zuinig zijn op de privacy van onszelf en anderen.
Alles bij de bron; ED [premium art]
Onderzoekers van beveiliger Kaspersky hebben in de ‘snelgroeiende’ wereld van Internet of Things (IoT) enkele grote bedreigingen benoemd.
In die wereld (er zijn in 2030 meer dan 29 miljard IoT-apparaten) is een ‘bloeiende ondergrondse economie op het darkweb’ te zien, gericht op IoT-gerelateerde diensten zoals DDoS-aanvallen via IoT-botnets.
Die aanvallen kosten soms niet meer dan twintig dollar per dag. Het darkweb biedt daarnaast exploits voor zero-day kwetsbaarheden in IoT-apparaten en andere IoT-malware die er soms alleen maar op gericht is om rivaliserende malware te dwarsbomen. IoT-apparaten zijn daarnaast vatbaar voor ransomware, miners en proxy bots.
Leveranciers van IoT-apparaten moeten daarom meer aan cybersecurity doen, in zowel consumenten- als industriële apparaten. ‘Het veranderen van standaardwachtwoorden op IoT-apparaten zou verplicht moeten zijn’, aldus Kaspersky. Leveranciers zouden verder consequent patches moeten uitbrengen om kwetsbaarheden te verhelpen.
Alles bij de bron; Cops-in-Cyberspace
Als je een stofzuiger koopt, een boek of een auto, dan is-ie van jou. Dan kun je ermee doen wat je wilt. Toch? Nee helaas, dat was vroeger zo. Bezit heeft, bijna ongemerkt, een nieuwe betekenis gekregen. Producten, of eigenlijk hun makers, hebben een eigen wil.
De afgelopen tien jaar stortten fabrikanten zich op de productie van ‘slimme’ apparaten. Die bedien je met een app, die kunnen veel meer dan traditionele apparaten en ze zijn minder snel achterhaald, omdat ze geüpdate kunnen worden. Hartstikke handig.
Eén nadeel: jij koopt die slimme wasmachine, fotocamera of grasmaaier, maar de software die nodig is om de apparaten te laten werken, die blijft in bezit van de fabrikanten. En die kunnen, naar eigen inzicht, de spelregels aanpassen...
...Het zijn de smartphones die consumenten rijp maakten voor deze ontwikkeling. Iedereen is eraan gewend dat die ineens anders werken of er anders uitzien, al is het niet altijd tot tevredenheid.
Bijna ongemerkt worden veel elektrische apparaten als de smartphone. De slimme koelkast, slimme thermostaat, slimme stofzuiger, ja zelfs de waterkoker draait op software waar consumenten geen controle over hebben. Software as a service heet dat, kortweg Saas.
Dat de klant een fysiek product koopt, maar niet de software die nodig is om het te laten werken, vindt Anouk Ruhaak, de directeur van de Stichting Databescherming Nederland ‘een problematisch verhaal’. “Je kunt er niet vanop aan dat die software blijft functioneren. Wat gebeurt er als een bedrijf failliet gaat? Stopt dan je slimme stofzuiger ermee, terwijl er niets mee aan de hand is?”
Dat zou zomaar kunnen, weet Eric van Ballegoie, reviewcoördinator van technologiesite Tweakers, uit ervaring. Hij kocht een drone van een kleine fabrikant. “Die ging failliet. De app die je ervoor nodig hebt, werkt niet met moderne Android-versies. Ik kan dat ding niet meer gebruiken, dus ik ben niet echt eigenaar van die drone. Waar bijna niemand aan denkt is dat zoiets ook kan gebeuren als VanMoof failliet gaat, want hun fietsen zet je met een app op slot. Wil je die nog open krijgen, dan moet die app werken. Denk dus goed na voor je een product koopt dat werkt met een app.”...
...Saas en Faas ontnemen consumenten deels de controle over hun aankopen en geven fabrikanten invloed. Maar er is nog een reden waarom fabrikanten er dol op zijn: data. Slimme stofzuigers, fietsen, grasmaaiers, waterkokers, thermostaten, koelkasten, auto’s, allemaal sturen ze informatie over de koper naar de fabrikant.
....Een slimme koelkast heeft een soort tablet op de deur en ziet wat hij koelt. En via een app kun je houdbaarheidsdata bijhouden. Handig.
Die koelkast stuurt zijn gegevens naar de cloud van welk merk hij ook is. “Niet alleen over hoe je die koelkast gebruikt”, zegt Linnet Taylor, hoogleraar international data governance aan de Tilburg Universiteit, “maar ook over wat je eet, hoe je dag eruit ziet, met hoeveel mensen je in huis woont.”
Amazon kan zo complete dossiers van zijn klanten samenstellen. Het is eigenaar van ebookreader Kindle, streamingsplatform Twitch, slimme luidspreker Alexa, robotstofzuiger Roomba en uiteraard het online warenhuis Amazon.
Daarnaast volgt het bedrijf zijn klanten op honderden websites, waaronder Funda, Tripadvisor en Uitmetkinderen.nl. Uit al die bronnen haalt Amazon informatie. “We weten niet goed hoeveel data er worden verstuurd en welke data”, zegt Ruhaak. “Wat we wel weten is dat de Roomba een redelijk idee heeft hoe je huis er van binnen uitziet.”
Bedrijven kunnen data zelf gebruiken, maar ze kunnen die ook verkopen aan datahandelaren als Axcoim. Dat bedrijf had in 2019 van ongeveer 2,5 miljard mensen zo’n 10.000 gegevenspunten.
Fabrikanten mogen niet zomaar alle gegevens van die slimme koelkast doorverkopen aan datahandelaren. Privacywetgeving verplicht ze om die verkoop aan de consument te melden in de gebruiksvoorwaarden. Bij de aankoop weet je dus waar je mee instemt en kun je afwegen: wil ik echt een slim apparaat of toch maar een zonder software? Alleen, wie leest de gebruiksvoorwaarden?
...sinds vorige maand geldt in de Europese Unie nieuwe wetgeving die het grote techbedrijven moeilijker maakt om vrijuit met data te spelen. Zij moeten transparanter zijn over wat zij met de data doen en er komen strengere regels voor advertenties.
Maar de consument zelf is ook aan zet. Een boodschap die Amerikaanse boeren ter harte namen. Zij waren gewend om zelf de kleine reparaties te verrichten aan hun trekkers. Producent John Deere stak daar een stokje voor. ‘Ongeautoriseerd repareren’ kon niet meer. Dus hackten de Amerikanen hun eigen tractoren, gevolgd door boeren in de rest van de wereld. Met succes: er geldt nu in de VS een recht-op-reparatiewet.
Alles bij de bron; Trouw [lekker lang weekend artikel]
Ethische hackers ontdekten zeker twintig beveiligingsfouten bij maar liefst zestien verschillende merken. Die kunnen worden misbruikt om de locatie van de auto’s te bepalen, ze te ver- en ontgrendelen, de motor te starten en te stoppen, accounts over te nemen en op afstand commando’s uit te voeren.
De kwetsbaarheden zitten onder andere in de application programming interfaces (api's) waarop autofabrikanten vertrouwen zodat de technologie in auto's met elkaar kan communiceren. Het betreft onder meer de merken Ford, Toyota, Mercedes, BMW, Porsche en Ferrari.
‘De auto-industrie rolt aan hoog tempo allerhande functionaliteiten uit voor remote access and control’, stelt John Pescatore, manager Emerging Security Trends bij it-beveiligingsadviseur en -opleider het Sans Institute. ‘Jammer genoeg is het een feit dat veel online apps en portalen van autobouwers niet noemenswaardig op veiligheid getest zijn voordat ze voor het publiek worden opengesteld.’
Een rode draad zijn bijvoorbeeld serviceportalen die zwakke single-sign-on-implementaties gebruiken om klanten gemakkelijk toegang te geven tot bepaalde diensten via apps en webbrowsers (en die daardoor gemakkelijker te kraken zijn). En doordat mobiele apps, websites, netwerken en (externe) diensten meer en meer met elkaar verbonden zijn, is het cliché van ‘de zwakste schakel’ hier van toepassing.
‘Third-party software moet volledig getest worden, net als intern ontwikkelde code. Op langere termijn is het duidelijk dat het ontwerpen en testen van veilige software een steeds belangrijker onderdeel van het autofabricageproces zal worden. En dat is niet meer dan terecht.’
Alles bij de bron; Computable