Cyber security hacker

IoT in huis: wie krijgt er informatie van uw apparaten opgestuurd?

by Redactie IoT Journaal24 september 2019

Het slimme huis is voor sommigen een zegen en voor anderen weer een vloek. Bij die laatste groep weegt het gemak van met internet verbonden apparatuur niet op tegen de mogelijke risico’s op het gebied van privacy en security. Zij zijn geen doemdenkers, zo blijkt uit diverse onderzoeken en testen. Zo ook nu weer. Wetenschappers verbonden aan de Britse Northeastern University en Imperial College London hebben onlangs het netwerkverkeer van 81 IoT-apparaten voor thuis geanalyseerd. De conclusie: de bewuste hardware is nogal babbelziek. Het onderzoeksrapport ‘Information Exposure From Consumer IoT Devices’ is gratis te downloaden via IoTJournaal (13 pagina’s, 2,05 Mb, PDF).

Dat IoT-hardware data verstuurt en ontvangt, klinkt nogal logisch. Daarvoor zijn de apparaten nou eenmaal met een internetverbinding uitgerust. De vraag is echter wat voor data op welke wijze naar welke partij gaat. En in hoeverre de gebruiker daarvan expliciet op de hoogte wordt gesteld. De Britse wetenschappers van Northeastern University en Imperial College London wilden antwoorden op die prangende vragen en kochten 81 IoT-apparaten voor thuisgebruik, variërende van IP-camera’s tot smart tv’s en slimme luidsprekers. Met zelfs wat ‘exoten’ zoals een slimme wasdroger en een ‘intelligente’ rijstkoker. Op die apparaten werden vervolgens op maat gesneden testmethodes losgelaten, inclusief een diepgaande analyse van het netwerkverkeer dat de apparaten genereerden.

[Tekst loopt door onder de tabel.]

IoT Rapport Consumer Devices I

En de winnaars zijn…

Als wij naar de resultaten kijken van de testen, dan is één type IoT-apparaat een absolute winnaar als het gaat om het aantal derde partijen naar wie het allerlei data verzendt: de slimme tv. Een voorbeeld? Zelfs als er op de bewuste televisies geen account voor de streamingdienst Netflix is geconfigureerd, worden er toch diverse gegevens naar dat bewuste bedrijf gestuurd. Ook andere bedrijven – zoals AT&T, Alibaba, Beijing Huaxiay, Akamai, Amazon, Facebook en Microsoft – kregen data opgestuurd. Die informatie zou de bewuste ondernemingen in staat kunnen stellen om te achterhalen waar de gebruikers wonen en wat zij met hun gekochte IoT-hardware doen.

Versleutelde data, dat dan weer wel

Waar de wetenschappers ook achter kwamen, is dat diverse apparaten ‘oncontroleerbaar gedrag’ vertoonden. Zoals slimme deurbellen die ongevraagd foto’s of video-opnames maakten als er beweging in hun ‘blikveld’ werd gesignaleerd. Die onbedoelde functionaliteit kon niet worden uitgeschakeld door de gebruiker. Ook was het nagenoeg onmogelijk om toegang te krijgen tot die ‘snapshots’. Om te eindigen met een positieve noot: de door de verschillende IoT-hardware verzonden data was over het algemeen versleuteld, al is de mate van encryptie afhankelijk van de fabrikant, het type apparaat en de regio waar te koop wordt aangeboden.