IoT - Internet of Things

Veel zogenaamde ‘slimme’ apparaten van tegenwoordig zijn voorzien van software en praten met het internet. Koelkasten, babyfoons, televisies en zelfs poppen: ze kunnen allemaal online. Daaraan kleven een paar risico’s op het vlak van privacy en digitale rechten. Zo word je vaak gedwongen om in te stemmen met het delen van privégegevens als je het apparaat wilt gebruiken, maar jij hoort hierover zelf te kunnen beslissen.

...  Als jij een apparaat aanschaft, heb je een bepaalde verwachting over wat je ermee kunt. Het moet vervolgens niet zo zijn dat je er thuis achter komt dat je gedwongen bent om je gegevens te delen voordat je gebruik kunt maken van dat nieuwe apparaat. Het delen van je data mag nooit een voorwaarde zijn om jouw apparaat überhaupt te kunnen gebruiken als die gegevens niet noodzakelijk zijn voor de werking ervan. Je hoort niet gedwongen te worden om je data af te staan of een inkijkje te geven in je gedrag zodra je een ‘slim’ apparaat koopt. Je moet gewoon alle functies kunnen gebruiken en de noodzakelijke (beveiligings)updates kunnen installeren voor de goede werking van je apparaat, zonder dat jouw toestemming voor gebruik van je privégegevens wordt afgedwongen. Je moet hier altijd zelf over kunnen beslissen, het gaat immers om jouw privacy.

Met argusogen kijk ik naar de toekomst. Via het veelbelovende Internet of Things waarmee zulke mooie dingen mogelijk zijn, proberen producenten ons steeds vaker te verplichten data over onszelf af te geven voordat we deze apparaten kunnen gebruiken. Ik houd mijn hart vast en hoop dat we ‘slimme’ apparaten kunnen blijven gebruiken zonder dat je noodgedwongen wordt bespied. Producenten moeten desnoods worden verplicht consumenten een keuze te geven.

Alles bij de bron; BoF [Thnx-2-Luc]


 

Beveiligingslekken in een dongel van fabrikant Bosch maakten het mogelijk voor hackers om op afstand de motor van een rijdende auto uit te schakelen. De problemen waren aanwezig in de Bosch Drivelog Connector OBD-II dongel. Het apparaat wordt voor het beheer van de auto gebruikt en monitort de "gezondheid" van het voertuig en waarschuwt als er iets mis is.

Gebruikers kunnen via een smartphone-app weer met de dongel communiceren. Dit gebeurt via bluetooth en maakt het mogelijk om informatie over het voertuig op te vragen. Onderzoekers van Argus Cyber Security ontdekten een informatielek in het authenticatieproces tussen de dongel en smartphone-app, alsmede kwetsbaarheden in het berichtenfilter van de dongel. De onderzoekers ontdekten dat een aanvaller met de dongel kon pairen, zodat de dongel het dongelcertificaat verstuurde. Aangezien de aanvaller niet over de pincode van de gebruiker beschikt, zou die in een offline-omgeving via bruteforce kunnen worden achterhaald.

Met deze pincode en het certificaat kon de aanvaller vervolgens verbinding met de dongel maken. Het berichtenfilter van de dongel bevatte echter ook kwetsbaarheden en lieten een aanvaller kwaadaardige opdrachten naar de CAN-bus sturen. Op deze manier was het mogelijk om de motor van een rijdende auto uit te schakelen. Het beveiligingsbedrijf waarschuwde Bosch dat de problemen verhielp.

Alles bij de bron; Security


 

Dat zo’n beetje alles op internet kan worden aangesloten, was bekend. Dat daar risico’s aan kleven ook. Maar de maker van de internetgaragedeur Garadget werpt een heel nieuw probleem op. Nadat een ontevreden klant een negatieve recensie ('a piece of shit') achterliet op het forum en op Amazon, sloegen de stoppen van de Garadget-baas door. Het antwoord op de negatieve recensies: de deur werd op afstand gesloten. Nadat het populaire Twitterkanaal @internetofshit het opmerkelijke voorval oppikte, ging het incident viraal.

Bron; VKTechBlog


 

ADAC, de Duitse zuster van de ANWB, testte van meer dan honderd auto’s de radiografische sleutels. De auto’s bleken allemaal eenvoudig en binnen enkele seconden geopend en gestart te kunnen worden met behulp van een apparaat dat voor 100 euro te koop is.

ADAC stelt vast dat de autofabrikanten te weinig doen om de zogenoemde keyless entry-systemen goed te beveiligen. Ze maken gebruik van technologie die al jaren achterhaald is. De autodief moet wel in de buurt zijn als de eigenaar zijn auto opent en start. Binnen een straal van ongeveer 2 meter kan het signaal worden opgepakt en opgeslagen. Wie in krachtigere apparatuur investeert kan het signaal ook van 8 meter afstand opvangen. Het is goed mogelijk dat dit de oorzaak is dat in Nederland gemiddeld elk half uur een auto wordt gestolen. 

Alles bij de bron; BeveilNieuws


 

Beveiligingsonderzoeker Jason Doyle heeft een drietal lekken ontdekt, die gebruikt kunnen worden om Nest-camera's van Google te laten crashen en opnieuw te laten opstarten. Hij stelde Google in oktober van de lekken op de hoogte, maar er zou tot nu toe geen patch zijn uitgekomen.

Doyle zet zijn bevindingen uiteen in een GitHub-post. Daarin meldt hij dat het lek bestaat in software met versienummer 5.2.1, die aanwezig is in de Dropcam, Dropcam Pro en de Nest-camera's voor binnen en buiten. Via twee van de drie kwetsbaarheden zijn de camera's binnen een korte afstand opnieuw op te starten. Dit is volgens Doyle problematisch, omdat de camera's gedurende die tijd niet kunnen opnemen. Deze kwetsbaarheden zijn te gebruiken via bluetooth low energy, dat na de installatie van de camera's standaard ingeschakeld is. Door verbinding te maken met de camera, kan een kwaadwillende in het eerste geval een bepaalde ssid instellen waardoor het apparaat via een buffer overflow crasht en opnieuw opstart. In het tweede geval is eveneens een buffer overflow teweeg te brengen door een versleuteld wachtwoord in te stellen.

Het derde lek maakt het mogelijk om de camera met een nieuw wifi-netwerk verbinding te laten maken. Dit proces duurt ongeveer 60 tot 90 seconden, waardoor er tijdelijk geen internetverbinding bestaat. Als de camera uiteindelijk geen verbinding kan maken, keert hij terug naar het oorspronkelijke netwerk. Doyle stelt dat hiermee de opname van de camera tijdelijk onderbroken kan worden, doordat er geen lokale opslag aanwezig is.

De onderzoeker laat aan The Register weten dat er geen workarounds zijn, omdat bluetooth niet uit te schakelen is. 

Alles bij de bron; Tweakers


 

Standard Innovation Corporation, fabrikant van onder meer de We-Vibe-vibrator, stelt 3,75 miljoen dollar beschikbaar voor consumenten die gebruik hebben gemaakt van het seksspeeltje of de bijbehorende app. De schadevergoeding komt voort uit een rechtszaak die tegen Standard Innovation liep wegens vermeende privacyschending.

De zaak werd in september van vorig jaar aangespannen door een Amerikaanse vrouw, enkel bekend onder het pseudoniem N.P. Zij beschuldigde het bedrijf ervan zonder toestemming gevoelige informatie over haar en andere We-Vibe-gebruikers te hebben verzameld. Standard Innovation hield onder meer de tijdstippen bij waarop de slimme vibrator werd gebruikt, evenals de intensiteit van de vibratie waarvoor gebruikers kozen.

Als onderdeel van de schikking is Standard Innovation akkoord gegaan met het verzoek om dergelijke data voortaan te vernietigen.

Alles bij de bron; NU


 

Amazon helpt mee met mogelijk bewijsmateriaal in een moordzaak in de Amerikaanse staat Arkansas. Eerder weigerde Amazon nog om de geluidsfragmenten te delen die een apparaatje van het bedrijf had opgenomen.

De ‘smart speaker’ van het bedrijf met de naam Echo staat bij gebruikers continue aan. De microfoon in het apparaatje neemt stemmen op en reageert als het nodig is. Mogelijk heeft de Echo in het huis van James Andrew Bates belastend materiaal opgenomen. De openbaar aanklager in de zaak had Amazon gevraagd om geluidsopnames maar het bedrijf weigerde dat steeds.

Nu werd bekend dat het technologiebedrijf toch meewerkt in de moordzaak. Bates wordt als verdachte gezien maar verklaart onschuldig te zijn. Hij liet weten dat hij er geen problemen mee heeft als Amazon de opnames van zijn Echo deelt, reden voor het bedrijf om die over te leveren. Eerder zei Amazon nog dat de privacy van gebruikers in gevaar komt als opnamen van Echo gedeeld worden.

Alles bij de bron; Volkskrant


 

Afgelopen dinsdag druppelden er op Twitter allerlei vreemde berichten binnen. Klachten over Amerikaanse websites en internetdiensten die niet functioneerden. Nieuwswebsite Business Insider wilde niet laden, vragenforum Quora deed het niet. Uit diverse Europese landen kwamen klachten over muziekdienst Amazon Music die ineens stilviel. Ook IFTTT (If this, then that), een app waarmee gebruikers hun ‘slimme’ thermostaten en lampen aansturen, deed het niet meer. „Mmm. Ik krijg sommige lampen in mijn huis niet aan omdat @IFTTT eruit ligt. Welkom in de toekomst. @internetofshit”. twitterde een BBC-journalist.

Al snel was duidelijk wat de boosdoener was: een storing bij Amazon Web Services (AWS), een cruciale leverancier van clouddiensten waarvan al die verschillende apps en sites afhankelijk zijn. Die draaien namelijk allemaal op de servers van Amazon. De Amerikaanse webgigant startte direct een onderzoek naar de oorzaak van de fout, en vrijdag bleek wat al die storingen had veroorzaakt: een tikfout van een Amazon-medewerker. Bij een standaard beveiligingsupdate zette hij één commando verkeerd neer, waardoor wereldwijd duizenden mensen problemen kregen.

Het is de digitale variant van het vlindereffect: een vlinder die aan de ene kant van de wereld met zijn vleugels slaat, veroorzaakt aan de andere kant een orkaan. Alleen is de vlinder in het digitale tijdperk een toetsaanslag, en de orkaan een wereldwijde internetstoring. En dit was waarschijnlijk nog maar een klein stormpje vergeleken met wat ons te wachten staat in het internet of things, waarschuwen vrijwel alle experts op het gebied van internetveiligheid.

Alles bij de bron; NRC


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha