Pas op voor goedkope slimme apparaten: "Ze zijn zo lek als een zeef"

Een slimme deurbel, wasmachine of stofzuiger zijn tegenwoordig niet meer weg te denken uit sommige huishoudens. Omdat ze verbonden zijn met het internet zijn ze heel handig in gebruik. Zo kan je vanop je smartphone zien wie aan de deur belt, of kan je de living laten stofzuigen terwijl je op het werk zit. 

De laatste jaren gingen die slimme toestellen vlotjes over de toonbank. Alle grote producenten brengen slimme versies van hun apparaten op de markt. Maar ook minder bekende merken, die meestal actief zijn op webshops zoals Wish, Ali Express, Bol.com of Amazon springen op de kar. Gevolg: we worden overspoeld met slimme deurbellen, sloten, camera's en stofzuigers die gemaakt worden door verschillende merken, maar die onder de motorkap identiek zijn.

En laat nu dat het probleem zijn. Test Aankoop ontdekte, samen met Euroconsumers - een cluster van verschillende consumentenorganisaties -  dat heel veel slimme toestellen makkelijk te hacken zijn. Zij onderzochten samen met de KU Leuven 16 slimme apparaten en ontdekten 54 kwetsbaarheden. Ze zagen ook dat de communicatie tussen de toestellen en de smartphone niet beveiligd is, waardoor hackers makkelijk jouw wachtwoord kunnen stelen. 

"En sommige hackers gaan nog een stapje verder", zegt Lennert Wouters, doctoraatsonderzoeker van de KU Leuven. "Een slimme stofzuiger heeft soms verschillende camera's die nodig  zijn om je woonkamer in kaart te brengen. Voor al die rekenkracht is er een krachtige processor aanwezig. Nu kunnen hackers in jouw stofzuiger inbreken en meekijken terwijl die bezig is. Meer nog, ze kunnen je woonkamer in kaart brengen en die gegevens doorverkopen." 

Raykube, een slimme deurbel die je op Ali Express vindt, kan binnen enkele minuten worden gehackt en de deur kan vanop afstand worden geopend. Bij de babyfoon van 360 Eyes, die voor minder dan 20 euro te vinden is op de Chinese webshop, kan je het account overnemen en meekijken in de babykamer. De keukenrobot van Ikohs staat volledig open, waardoor hackers het toestel kunnen overnemen om een zogenoemde DDOS-aanval te doen. Ter herinnering: verschillende instellingen werden in mei platgelegd door dit soort cyberaanvallen. 

Wouters: "Sommige toestellen gebruiken simpele logins en wachtwoorden om zichzelf te beschermen. Zo zagen we dat een toestel "admin" als login had en het wachtwoord was een variatie van de merknaam. Zo maak je het de hackers wel heel makkelijk." Makkelijke wachtwoorden zijn namelijk snel te achterhalen door hackers. 

Het probleem van veel goedkope toestellen is dat de producenten nauwelijks investeren in cybersecurity. Wouters: "Meestal kost dat geld, en veel van die goedkope merken willen zoveel mogelijk apparaten aan de man brengen ten koste van de veiligheid."

De onderzoeker raadt de mensen aan om zoveel mogelijk te kiezen voor gevestigde merken. "Al is dat niet altijd een garantie, want een apparaat van een bepaald merk kan door iemand anders gemaakt worden. Als je een toestel wil kopen, moet je altijd even googelen om te kijken of het bedrijf niet in het nieuws is geweest, want meestal is dat een indicatie dat er toch problemen zijn." Volgens Wouters kiezen we best voor een sterk wachtwoord, eentje dat niet makkelijk te achterhalen is.

Maar Test Aankoop vindt ook dat de producenten hun apparaten beter moeten beveiligen. Hoewel de Europese Commissie in 2023 met een wetgeving komt die dat moet regelen, vindt Simon November van Test Aankoop dat het sneller moet. “Samen met de consumentenorganisaties in onze partnerlanden dringen we er bij de Europese beleidsmakers op aan dat de wetgeving inzake cyberbeveiliging die momenteel in voorbereiding is op Europees niveau, de vastgestelde tekortkomingen in de beveiliging van slimme apparaten aanpakt. In aanvullende EU-wetgeving moeten bovendien nieuwe bindende regels voor fabrikanten worden ontwikkeld."