Gatenkaas IoT Security

Praktijktest: “Security domotica-apps? Gatenkaas!”

door Redactie IoT Journaal4 april 2018

Nu de slimme speaker, intelligente thermostaat en de ‘connected’ verlichting meer en meer in huishoudens zijn te vinden, rijst ook de vraag of de bijbehorende apps wel zo veilig zijn. Het antwoord daarop is heel simpel: nee. Althans, dat zijn de praktijkervaringen van de Franse cybersecurity specialist Pradeo.

In totaal heeft Pradeo honderd apps uit Google Play en de Apple App Store getest op hun deugdelijkheid als het gaat om de beveiliging. Het resultaat was nogal bedroevend, aldus de Franse security specialisten. Allereerst kwamen zij tot de conclusie dat nagenoeg alle bekeken applicaties nogal veel informatie verzamelen. Data die niet noodzakelijkerwijs van belang zijn voor het goed functioneren van de app en het daarmee aangestuurde domotica product. Da’s op zich vreemd, maar nog niet onveilig te noemen. Dat wordt het pas als je kijkt naar waar die informatie naar toe gaat. Pradeo analyseerde het dataverkeer en zag dat de apps gegevens sturen naar gemiddeld zeventien servers. Van die servers is weer 8 procent niet voorzien van beveiligingscertificaten. Sterker nog: sommige van de bewuste servers worden zelfs niet meer gebruikt door de betreffende domotica fabrikanten. Om het nog wat erger te maken, zijn er zelfs servers waarvan de domeinnaam te koop staat.

Ongekende datahonger

Om welke data gaat het nou eigenlijk? Pradeo inventariseerde de soort informatie die de apps naar hun thuisbasis sturen.

  • Applicatie-specifieke bestanden: 81 procent
  • Hardware informatie (fabrikant, modelnaam, batterij status: 73 procent
  • Apparaat-specifieke informatie (versienummer besturingssysteem): 73 procent
  • Tijdelijke bestanden: 38 procent
  • Informatie over het telefoonnetwerk (operator, landencode): 27 procent
  • Video- en audio-opnamen: 19 procent
  • Bestanden met ‘statische app data’: 19 procent
  • Geolocatie: 12 procent
  • Netwerkinformatie (IP addres, 2D addres, WiFi-verbinding): 12 procent
  • Device identifiers (IMEI): 8 procent
‘Man in the middle’

Het wordt nog vervelender als je kijkt naar de kwetsbaarheden in de apps. Pradeo kwam tot de conclusie dat 80 procent van de geteste software ‘gaten’ heeft, met een gemiddelde van zo’n vijftien stuks per app. In 15 procent van de gevallen was het nog wat ernstiger: die programma’s waren gevoelig voor een zogenoemde ‘man in the middle’-aanval,waarbij data tussen de app en de ‘thuisbasis’ ongemerkt onderschept wordt. Daarmee kan een hacker in staat zijn om de aangestuurde domotica hardware ‘over te nemen’. In het geval van bijvoorbeeld een beveiligingscamera of een slim deurslot zijn de gevolgen niet te overzien.

‘Regelgeving gewenst’

In zowel Nederland als Europa gaan er wat langer stemmen op voor betere beveiliging van domotica-producten. Begin maart dit jaar heeft staatssecretaris Mona Keijzer (ministerie van Economische Zaken en Klimaat) bijvoorbeeld aan de Tweede Kamer beloofd dat zij zich in Europees verband hard gaat maken voor ‘verplichte eisen aan Internet of Things-apparaten’. Zij deed die toezegging naar aanleiding van een officieel verzoek van regeringspartij D66.

D66-Kamerlid en IoTJournaal-blogger Kees Verhoeven toonde zich destijds blij met de beloofde actie van staatssecretaris Mona Keijzer: “Onveilige apparaten staan al in onze huiskamers. Elke dag werken cybercriminelen aan nieuwe hacktechnieken. En elke dag worden hun aanvallen geavanceerder en moeilijker te verslaan. We moeten ons hier beter en sneller tegen bewapenen. Daar zijn deze harde, verplichte eisen voor nodig. Terecht dat het kabinet zich hier binnen Europa hard voor gaat maken.”

‘Nederland voortouw nemen’

De D66-politicus is al langer bezig als pleitbezorger voor concrete maatregelen tegen onveilige IoT-consumentenapparaten. Zo publiceerde hij in december 2016 een veelgelezen blog op IoTJournaal over dat onderwerp. Daarin zei Verhoeven onder andere: “De toename van het aantal apparaten dat we aansluiten op het internet vereist ook een toename in de focus op cyberveiligheid. Nederland moet – als digitale koploper in Europa – het voortouw nemen om er voor te zorgen dat consumenten veilig gebruik kunnen maken van IoT-apparaten.” Hij had in november 2016 een initiatiefnota in de Tweede Kamer ingediend om regelgeving op dat gebied mogelijk te maken. In juni 2017 is daar een motie, ingediend door de Tweede Kamerfracties van D66 en de SP, bijgekomen waarin de Nederlandse regering werd gevraagd om met concrete wetgeving hiervoor te komen. De bewuste motie is destijds door de Tweede Kamer aangenomen.

 

 

twittergoogle_pluslinkedinmailtwittergoogle_pluslinkedinmail