IoT - Internet of Things

Verschillende kwetsbaarheden in het, ook in NL verkrijgbare, slimme alarmsysteem iSmartAlarm kunnen een aanvaller op afstand volledige controle over het apparaat en de gegevens van alle gebruikers geven, waaronder hun adresgegevens. Daarvoor waarschuwt onderzoeker Ilia Shnaidman van BullGuard. ISmartAlarm is een met internet verbonden alarmsysteem dat via een app is te bedienen. 

In totaal vond de onderzoekers vijf beveiligingslekken in het alarmsysteem en de achterliggende infrastructuur. Zo controleert het alarmsysteem niet de geldigheid van aangeboden ssl-certificaten en is het mogelijk om een denial of service-aanval op het apparaat uit te voeren zodat het apparaat niet meer werkt. Ook kan een aanvaller het apparaat uitschakelen, inschakelen of het "panic alarm" laten afgaan. Verder blijkt de achterliggende infrastructuur van iSmartAlarm toegankelijk. Zodoende kunnen van alle gebruikers de gegevens worden achterhaald, waaronder hun adresgegevens. 

Hij waarschuwde de fabrikant op 30 januari van dit jaar en omdat er een half jaar later nog geen updates beschikbaar zijn heeft Shnaidman de details vrijgegeven.

Alles bij de bron; Security


 

De Tweede Kamer heeft met een overgrote meerderheid een motie aangenomen waarin de regering wordt opgeroepen iets te doen aan onveilige internet of things-apparaten. De motie werd dinsdag met een een meerderheid van 148 stemmen aangenomen

SP-Kamerlid Maarten Hijink en D66-Kamerlid Kees Verhoeven dienden de motie vorige week in, tijdens een debat over ransomware WannaCry. De snelle verspreiding van de ransomware zette het belang van een sterke digitale beveiliging weer hoger op de politieke agenda. Hijink en Verhoeven roepen in de motie op om te onderzoeken welke minimale veiligheidseisen aan internet of things-apparten kan worden gesteld, hoe die eisen kunnen worden afgedwongen en welke overige maatregelen nodig zijn om consumenten te beschermen tegen slecht beveiligde apparatuur.

"Niemand zit te wachten op een massale cyberaanval via gehackte waterkokers of koelkasten", aldus de motie. Verhoeven van D66 pleitte eind 2016 ook al voor officiële veiligheidsstandaarden voor internet of things-apparaten.

Alles bij de bron; NU


 

Veel zogenaamde ‘slimme’ apparaten van tegenwoordig zijn voorzien van software en praten met het internet. Koelkasten, babyfoons, televisies en zelfs poppen: ze kunnen allemaal online. Daaraan kleven een paar risico’s op het vlak van privacy en digitale rechten. Zo word je vaak gedwongen om in te stemmen met het delen van privégegevens als je het apparaat wilt gebruiken, maar jij hoort hierover zelf te kunnen beslissen.

...  Als jij een apparaat aanschaft, heb je een bepaalde verwachting over wat je ermee kunt. Het moet vervolgens niet zo zijn dat je er thuis achter komt dat je gedwongen bent om je gegevens te delen voordat je gebruik kunt maken van dat nieuwe apparaat. Het delen van je data mag nooit een voorwaarde zijn om jouw apparaat überhaupt te kunnen gebruiken als die gegevens niet noodzakelijk zijn voor de werking ervan. Je hoort niet gedwongen te worden om je data af te staan of een inkijkje te geven in je gedrag zodra je een ‘slim’ apparaat koopt. Je moet gewoon alle functies kunnen gebruiken en de noodzakelijke (beveiligings)updates kunnen installeren voor de goede werking van je apparaat, zonder dat jouw toestemming voor gebruik van je privégegevens wordt afgedwongen. Je moet hier altijd zelf over kunnen beslissen, het gaat immers om jouw privacy.

Met argusogen kijk ik naar de toekomst. Via het veelbelovende Internet of Things waarmee zulke mooie dingen mogelijk zijn, proberen producenten ons steeds vaker te verplichten data over onszelf af te geven voordat we deze apparaten kunnen gebruiken. Ik houd mijn hart vast en hoop dat we ‘slimme’ apparaten kunnen blijven gebruiken zonder dat je noodgedwongen wordt bespied. Producenten moeten desnoods worden verplicht consumenten een keuze te geven.

Alles bij de bron; BoF [Thnx-2-Luc]


 

Beveiligingslekken in een dongel van fabrikant Bosch maakten het mogelijk voor hackers om op afstand de motor van een rijdende auto uit te schakelen. De problemen waren aanwezig in de Bosch Drivelog Connector OBD-II dongel. Het apparaat wordt voor het beheer van de auto gebruikt en monitort de "gezondheid" van het voertuig en waarschuwt als er iets mis is.

Gebruikers kunnen via een smartphone-app weer met de dongel communiceren. Dit gebeurt via bluetooth en maakt het mogelijk om informatie over het voertuig op te vragen. Onderzoekers van Argus Cyber Security ontdekten een informatielek in het authenticatieproces tussen de dongel en smartphone-app, alsmede kwetsbaarheden in het berichtenfilter van de dongel. De onderzoekers ontdekten dat een aanvaller met de dongel kon pairen, zodat de dongel het dongelcertificaat verstuurde. Aangezien de aanvaller niet over de pincode van de gebruiker beschikt, zou die in een offline-omgeving via bruteforce kunnen worden achterhaald.

Met deze pincode en het certificaat kon de aanvaller vervolgens verbinding met de dongel maken. Het berichtenfilter van de dongel bevatte echter ook kwetsbaarheden en lieten een aanvaller kwaadaardige opdrachten naar de CAN-bus sturen. Op deze manier was het mogelijk om de motor van een rijdende auto uit te schakelen. Het beveiligingsbedrijf waarschuwde Bosch dat de problemen verhielp.

Alles bij de bron; Security


 

Dat zo’n beetje alles op internet kan worden aangesloten, was bekend. Dat daar risico’s aan kleven ook. Maar de maker van de internetgaragedeur Garadget werpt een heel nieuw probleem op. Nadat een ontevreden klant een negatieve recensie ('a piece of shit') achterliet op het forum en op Amazon, sloegen de stoppen van de Garadget-baas door. Het antwoord op de negatieve recensies: de deur werd op afstand gesloten. Nadat het populaire Twitterkanaal @internetofshit het opmerkelijke voorval oppikte, ging het incident viraal.

Bron; VKTechBlog


 

ADAC, de Duitse zuster van de ANWB, testte van meer dan honderd auto’s de radiografische sleutels. De auto’s bleken allemaal eenvoudig en binnen enkele seconden geopend en gestart te kunnen worden met behulp van een apparaat dat voor 100 euro te koop is.

ADAC stelt vast dat de autofabrikanten te weinig doen om de zogenoemde keyless entry-systemen goed te beveiligen. Ze maken gebruik van technologie die al jaren achterhaald is. De autodief moet wel in de buurt zijn als de eigenaar zijn auto opent en start. Binnen een straal van ongeveer 2 meter kan het signaal worden opgepakt en opgeslagen. Wie in krachtigere apparatuur investeert kan het signaal ook van 8 meter afstand opvangen. Het is goed mogelijk dat dit de oorzaak is dat in Nederland gemiddeld elk half uur een auto wordt gestolen. 

Alles bij de bron; BeveilNieuws


 

Beveiligingsonderzoeker Jason Doyle heeft een drietal lekken ontdekt, die gebruikt kunnen worden om Nest-camera's van Google te laten crashen en opnieuw te laten opstarten. Hij stelde Google in oktober van de lekken op de hoogte, maar er zou tot nu toe geen patch zijn uitgekomen.

Doyle zet zijn bevindingen uiteen in een GitHub-post. Daarin meldt hij dat het lek bestaat in software met versienummer 5.2.1, die aanwezig is in de Dropcam, Dropcam Pro en de Nest-camera's voor binnen en buiten. Via twee van de drie kwetsbaarheden zijn de camera's binnen een korte afstand opnieuw op te starten. Dit is volgens Doyle problematisch, omdat de camera's gedurende die tijd niet kunnen opnemen. Deze kwetsbaarheden zijn te gebruiken via bluetooth low energy, dat na de installatie van de camera's standaard ingeschakeld is. Door verbinding te maken met de camera, kan een kwaadwillende in het eerste geval een bepaalde ssid instellen waardoor het apparaat via een buffer overflow crasht en opnieuw opstart. In het tweede geval is eveneens een buffer overflow teweeg te brengen door een versleuteld wachtwoord in te stellen.

Het derde lek maakt het mogelijk om de camera met een nieuw wifi-netwerk verbinding te laten maken. Dit proces duurt ongeveer 60 tot 90 seconden, waardoor er tijdelijk geen internetverbinding bestaat. Als de camera uiteindelijk geen verbinding kan maken, keert hij terug naar het oorspronkelijke netwerk. Doyle stelt dat hiermee de opname van de camera tijdelijk onderbroken kan worden, doordat er geen lokale opslag aanwezig is.

De onderzoeker laat aan The Register weten dat er geen workarounds zijn, omdat bluetooth niet uit te schakelen is. 

Alles bij de bron; Tweakers


 

Standard Innovation Corporation, fabrikant van onder meer de We-Vibe-vibrator, stelt 3,75 miljoen dollar beschikbaar voor consumenten die gebruik hebben gemaakt van het seksspeeltje of de bijbehorende app. De schadevergoeding komt voort uit een rechtszaak die tegen Standard Innovation liep wegens vermeende privacyschending.

De zaak werd in september van vorig jaar aangespannen door een Amerikaanse vrouw, enkel bekend onder het pseudoniem N.P. Zij beschuldigde het bedrijf ervan zonder toestemming gevoelige informatie over haar en andere We-Vibe-gebruikers te hebben verzameld. Standard Innovation hield onder meer de tijdstippen bij waarop de slimme vibrator werd gebruikt, evenals de intensiteit van de vibratie waarvoor gebruikers kozen.

Als onderdeel van de schikking is Standard Innovation akkoord gegaan met het verzoek om dergelijke data voortaan te vernietigen.

Alles bij de bron; NU


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha