Huishoudelijke apparaten die met internet verbonden zijn, kunnen grote beveiligingsrisico's met zich meebrengen. Dat stelt beveiliger Kaspesky Lab na een inventarisatie van huishoudelijke apparatuur die in verbinding staat met internet. Volgens de beveiliger houden leveranciers te weinig rekening met de beveiligingsrisico's van IoT-toepassingen (internet of things) binnenshuis.
De beveiliger richtte zich op verschillende met internet verbonden apparaten die beschikbaar zijn voor de ‘slim wonen’-markt. De onderzochte apparaten waren: een usb-dongle voor video streaming, een ip-camera die via de smartphone te bedienen, is, een smartphone-gestuurd koffiezetapparaat en een woningbeveiligingssysteem dat via een app kan worden ingesteld. Uit het onderzoek blijkt dat bijna al deze apparaten beveiligingslekken bevatten.
Kaspersky: ‘Tijdens het nieuwe experiment maakte een hacker verbinding met een babyfooncamera, hij gebruikte hetzelfde netwerk als de eigenaar van de camera, bekeek de videobeelden ervan en startte op de camera zelf de audiofunctie. Bij andere camera’s van dezelfde leverancier kunnen hackers wachtwoorden van de eigenaar achterhalen.’ Ook toonde het experiment aan dat het voor een hacker op hetzelfde netwerk mogelijk was om het root wachtwoord van de camera te achterhalen, om vervolgens schadelijke wijzigingen aan te brengen in de firmware van het apparaat.
Voor een via een app te bedienen koffiezetapparaten was het voor een aanvaller niet eens nodig om zich op hetzelfde netwerk te bevinden als het slachtoffer. Het tijdens het experiment onderzochte koffiezetapparaat verstuurde genoeg onversleutelde informatie om de aanvaller eenvoudig achter het wachtwoord te laten komen voor het gehele wifi-netwerk van de eigenaar van het koffiezetapparaat.
Sensoren
De onderzoekers ontdekten in een via de smartphone te bedienen woningbeveiligingssysteem dat de software voldoende beveiligd was om een cyberaanval te weerstaan. In plaats daarvan werd een kwetsbaarheid gevonden in de gebruikte sensoren.
De contactsensor, die is ontworpen om het alarm af te laten gaan wanneer een deur of raam wordt geopend, werkt door het detecteren van een magnetisch veld dat afkomstig is van een op de deur of het raam gemonteerde magneet. Wanneer de deur of het raam wordt geopend, verdwijnt het magnetisch veld, waarna de sensor alarmmeldingen verstuurt naar het systeem. Als het magnetisch veld echter in stand blijft, wordt geen alarm verzonden.
Tijdens het experiment met het woningbeveiligingssysteem slaagden experts van Kaspersky Lab erin om het magnetisch veld op het raam te vervangen met behulp van een eenvoudige magneet. Dit betekende dat ze een raam konden openen en sluiten zonder het alarm af te laten gaan. De beveiliger: ‘Het grote probleem bij deze kwetsbaarheid is dat het onmogelijk te repareren is met een software-update; het probleem zit in het ontwerp van het woningbeveiligingssysteem zelf. Zorgwekkender is dat op een dergelijke sensor gebaseerde apparaten vaak voorkomen en worden gebruikt door talloze beveiligingssystemen op de markt.’
Beveiligingsprobleem
‘Ter geruststelling toonde ons experiment aan dat leveranciers tijdens de ontwikkeling van hun IoT-apparaten rekening houden met cyberbeveiliging’, licht de beveiliger toe. Toch geldt volgens de security-leverancier voor nagenoeg ieder met internet verbonden en via een app bediend apparaat, dat het vrijwel zeker ten minste één beveiligingsprobleem heeft.
‘Criminelen kunnen verschillende van deze problemen tegelijk misbruiken, en daarom is het zo belangrijk voor leveranciers om alle problemen op te lossen – zelfs de niet-kritieke problemen. Deze beveiligingslekken moeten worden opgelost voordat het product op de markt komt’, zegt Martijn van Lom, general manager Benelux van Kaspersky Lab.
Aandachtspunten IoT-systemen
De beveiligingsexperts adviseren gebruikers van kwetsbare IoT-systemen om de volgende regels op te volgen:
1.Ga vóór aankoop van een IoT-apparaat op internet op zoek naar nieuws over eventuele zwakke plekken in het apparaat. Het IoT is een zeer populair onderwerp en zeer veel beveiligingsonderzoekers waarschuwen u door het opsporen van beveiligingsproblemen in dit soort producten: van babyfoons tot via app bedienbare geweren. Het is heel goed mogelijk dat het apparaat dat u gaat kopen al is onderzocht door onderzoekers en het is mogelijk om erachter te komen of er inmiddels een patch is uitgebracht voor de in het apparaat ontdekte problemen.
2.Wees voorzichtig met het kopen van producten die net op de markt zijn gebracht. Naast de standaard in nieuwe producten aanwezige bugs, bevatten recent geïntroduceerde apparaten beveiligingsproblemen die nog niet zijn ontdekt door beveiligingsonderzoekers. Het beste advies is om producten te kopen die al verschillende software-updates achter de rug hebben.
3.Houd bij het kiezen van slimme apparaten rekening met de veiligheidsrisico’s. Als u thuis veel items van materiële waarde bewaart, is het waarschijnlijk een goed idee om te kiezen voor een professioneel alarmsysteem, ter vervanging van of aanvulling op uw bestaande via app bedienbare woningalarmsysteem. Of configureer het bestaande systeem zodanig dat eventuele potentiële kwetsbaarheden geen afbreuk doen aan de werking ervan. Bij het kiezen van een apparaat dat informatie verzamelt over uw persoonlijke leven en de levens van uw gezin, zoals een babyfoon, kan het verstandig zijn om het eenvoudigste RF-model op de markt te kiezen. Deze is namelijk alleen geschikt voor het verzenden van een audiosignaal, zonder internetverbinding. Als dat geen optie voor u is, volg dan ons eerste advies – kies verstandig.