Let op voor digitale dieven
16 slimme apparaten, 54 kwetsbaarheden
Bij een veiligheidstest van 16 slimme apparaten identificeerden we maar liefst 54 kwetsbaarheden. We testten producten uit uiteenlopende categorieën: van slimme deurbellen en -sloten, over slimme robotstofzuigers en keukenrobots tot slimme babyfoons en zelfs een seksspeeltje. We kochten voor de meeste categorieën zowel een duurder exemplaar van een meer gereputeerde fabrikant als een goedkoop exemplaar van een onbekend merk dat je vooral op online platformen als Amazon of AliExpress aantreft.
Voor de test werkten we samen met twee onderzoekers van de KU Leuven (onderzoeksgroep COSIC): één van hen onderzocht de toestellen op het vlak van veiligheid. De andere onderzoeker hield gedurende anderhalve maand de datastromen in de gaten: waar sturen de toestellen en apps gegevens naar toe? Welke gegevens? En worden ze op een veilige manier verstuurd?
Goedkope toestellen vaker slecht beveiligd
Een veiligheidslek in een toestel betekent niet noodzakelijk dat je als gebruiker meteen risico loopt. Soms is het weinig waarschijnlijk dat een hacker effectief ook het veiligheidslek zal misbruiken, of is de impact beperkt als dat toch gebeurt. Maar bij 14 van de 54 vastgestelde kwetsbaarheden spreken de onderzoekers toch om een “kritisch” of “heel ernstig” probleem. Verontrustend is dat 10 van de 16 apparaten zo’n kritische of ernstige kwetsbaarheid bleek te hebben. Die zagen we vaker bij de goedkope toestellen.
Bij duurdere toestellen van meer gereputeerde fabrikanten zagen we doorgaans minder ernstige problemen, maar een garantie is het niet. Een dure babyfoon van Motorola (Comfort Connect 85) bleek bijvoorbeeld heel slecht beveiligd.
Veel onversleuteld dataverkeer
Buiten zwakheden in het toestel of de bijhorende app, zagen we ook dat vele toestellen persoonlijke gegevens zonder versleuteling het internet op stuurden. Concreet ging het daarbij vaak om wifiwachtwoorden, unieke toestelcodes, serienummers, e-mailadressen ed. Het risico is dat hackers die gegevens dan makkelijk kunnen onderscheppen en eventueel kunnen gebruiken om andere kwetsbaarheden uit te buiten. Niet alleen je persoonlijke gegevens liggen dus te grabbel, het wordt hackers ook makkelijker gemaakt om je toestellen aan te vallen.
Bereikbaarheid fabrikanten blijft een pijnpunt
Na de test hebben we de fabrikanten van de problemen op de hoogte gesteld. Zes van hen reageerden niet, telkens fabrikanten die hier niet bekend zijn en vanuit niet-Europese landen opereren (Ikohs, Tenda, Proscenic, 360 Eyes, Raykube en de fabrikant van de merkloze deurbel). Sowieso is het dan een uitdaging om een contactpersoon te vinden. Bij grotere fabrikanten gaat dat vaak makkelijker, maar ook bij hen is het soms een hele zoektocht naar het juiste meldpunt.
De meeste fabrikanten die wel reageerden gaven aan de problemen te willen aanpakken, al blijft het onzeker of zij in de praktijk de problemen daadwerkelijk ook zullen oplossen.
We blijven daarom strijden voor een betere regelgeving die fabrikanten aansprakelijk moet kunnen stellen voor de digitale veiligheid van hun producten.
Lees onze veiligheidseisen in ons dossier over je huis beschermen tegen hackers (onderaan de eerste pagina).