Ethische hackers ontdekten zeker twintig beveiligingsfouten bij maar liefst zestien verschillende merken. Die kunnen worden misbruikt om de locatie van de auto’s te bepalen, ze te ver- en ontgrendelen, de motor te starten en te stoppen, accounts over te nemen en op afstand commando’s uit te voeren.
De kwetsbaarheden zitten onder andere in de application programming interfaces (api's) waarop autofabrikanten vertrouwen zodat de technologie in auto's met elkaar kan communiceren. Het betreft onder meer de merken Ford, Toyota, Mercedes, BMW, Porsche en Ferrari.
‘De auto-industrie rolt aan hoog tempo allerhande functionaliteiten uit voor remote access and control’, stelt John Pescatore, manager Emerging Security Trends bij it-beveiligingsadviseur en -opleider het Sans Institute. ‘Jammer genoeg is het een feit dat veel online apps en portalen van autobouwers niet noemenswaardig op veiligheid getest zijn voordat ze voor het publiek worden opengesteld.’
Een rode draad zijn bijvoorbeeld serviceportalen die zwakke single-sign-on-implementaties gebruiken om klanten gemakkelijk toegang te geven tot bepaalde diensten via apps en webbrowsers (en die daardoor gemakkelijker te kraken zijn). En doordat mobiele apps, websites, netwerken en (externe) diensten meer en meer met elkaar verbonden zijn, is het cliché van ‘de zwakste schakel’ hier van toepassing.
‘Third-party software moet volledig getest worden, net als intern ontwikkelde code. Op langere termijn is het duidelijk dat het ontwerpen en testen van veilige software een steeds belangrijker onderdeel van het autofabricageproces zal worden. En dat is niet meer dan terecht.’
Alles bij de bron; Computable
In twee wireless network bridges van fabrikant Hikvision is een kritieke kwetsbaarheid gevonden waardoor een aanvaller op afstand met aangesloten beveiligingscamera's kan meekijken of daarop aanvallen kan uitvoeren.
De DS-3WF0AC-2NT en DS-3WF01C-2N/O zijn network bridges voor beveiligingscamera's. De camera wordt op de bridge aangesloten die vervolgens de camerabeelden draadloos verstuurt.
De managementinterface van de apparaten gaat niet goed om met gebruikersinvoer. Door het versturen van een speciaal geprepareerd pakket kan een aanvaller beheerderstoegang krijgen. Dit kan zowel vanaf het internet als lokaal netwerk, zolang een aanvaller toegang tot de interface heeft. Vervolgens is het mogelijk om met de aangesloten camera's mee te kijken of die aan te vallen.
De impact van de kwetsbaarheid, aangeduid als CVE-2022-28173, is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Onderzoekers ontdekten het beveiligingslek op 11 augustus en rapporteerden dit op 16 september bij het Indiase CERT. Hikvision bevestigde de kwetsbaarheid op 4 november en kwam op 16 december met een firmware-update.
Alles bij de bron; Security
We zijn uitgepraat. Al een tijdje. Na meer dan zeven jaar samenwonen met Alexa, de digitale assistent van Amazon, heb ik haar verbannen van het aanrechtblad naar een bureaula. Al is de stekker eruit, soms denk ik nog een fluisterend ‘Why?’ te horen.
Na jaren experimenteren met spraakassistenten luidt de conclusie dat ze er niet veel slimmer op geworden zijn. In de praktijk voeren smart speakers alleen de simpelste commando’s uit: speel een liedje, zet een wekker, doe de lampen aan. Dingen die je ook met een app op je telefoon kunt doen. Of – je gelooft het niet – met je eigen handen. Vaak sneller, zonder misverstanden of microfoons in huis....
....Carla Verwijmeren is bestuurslid van de Nederlandstalige Spraakcoalitie, een stichting die een Nederlands spraakmodel ontwikkelt met de bedoeling dat het trainingsmodel wordt gebouwd op geanonimiseerde opnames van klantengesprekken – op een manier die geen privacyregels schendt.
Dat bleken de smart speakers wel te doen: ze luisterden ongevraagd mee in keukens en slaapkamers. Al sloeg big tech de plank mis met de smart speakers, dat wil niet zeggen dat je geen goede lokale versie van een digitale assistent kunt bouwen – eentje die bijvoorbeeld ook goed overweg kan met oudere stemmen of met Nederlandse dialecten en accenten.
De virtuele assistent sluipt ons leven binnen, bijvoorbeeld door je e-mail te lezen en alvast antwoorden te suggereren, of veelgebruikte apps te tonen op het juiste tijdstip. Praten met assistenten via speakers komt echter niet van de grond.
Ondertussen wil Amazon meer advertenties afspelen op zijn speakers – het geld moet ergens vandaan komen. Alexa groeit uit tot een ‘ambient’ intelligentie die weet wat er in en rond je huis gebeurt, via camera’s, microfoons en andere sensoren. Amazon koopt iRobot voor 1,7 miljard dollar. Deze producent van robotstofzuigers kent de weg in miljoenen woningen – vandaar dat de Britse privacywaakhond daar vraagtekens bij stelt.
Alles bij de bron; NRC
Fabrikanten en verkopers van apparaten die zijn verbonden met het internet, moeten die apparatuur beter gaan beschermen tegen hackers en virussen. Daartoe heeft de Europese Commissie donderdag een voorstel ingediend.
Cybercriminelen slaan steeds vaker toe met bijvoorbeeld gijzelsoftware en richten voor vele miljarden aan schade toe. De Europese Commissie vindt dat er niet van consumenten verwacht mag worden dat ze zich wapenen tegen zulke aanvallen.
Ook stelt de Europese Commissie dat fabrikanten opener moeten zijn over de veiligheidsrisico's van hun apparaten. Voor ze hun apparatuur op de markt brengen, maar ook daarna moeten ze de risico's voortdurend tegen het licht houden.
In de eerste vijf jaar nadat een product op de markt is gebracht, moeten de fabrikanten beveiligingslekken en andere problemen binnen 24 uur melden. Vervolgens moeten ze ook met oplossingen komen.
Alles bij de bron; NU
We zijn allang niet meer eigenaar van de hele auto, de hele robotstofzuiger of de hele televisie. Al die (slimme) apparaten genereren data waar in veel gevallen alleen de fabrikant bij kan.
Om daar verandering in te brengen presenteerde de Europese Commissie in februari de Data Act of datawet. Een wetsvoorstel om te verankeren wie wat mag met welke gegevens. Daarbij gaat het om data van slimme apparaten: meer persoonlijke gegevens (bestelgeschiedenis van een webshop, reisgegevens van een ov-kaart) vallen onder andere wet- en regelgeving.
De Europese lidstaten en het Europees Parlement onderhandelen momenteel over het voorstel, zij moeten het goedkeuren. Tot die tijd is het onduidelijk wat de impact voor bedrijven en consumenten precies zal zijn. Grofweg leunt de wet op deze drie pijlers.
1. Laat de gebruiker van een slim apparaat bepalen wie bij de gegevens kan. Daarbij gaat het om data die het apparaat zelf genereert en om zogenoemde metadata: gegevens over de werking van een slim apparaat.
2. Laat overheden gegevens opvragen van apparaten in ‘buitengewone omstandigheden’. Het overgrote deel van Nederland loopt constant met een pakket aan sensoren en gps-gegevens rond in broekzak of tas: een smartphone. ...In dat soort ‘buitengewone omstandigheden’ moeten overheden gegevens van onze apparaten kunnen opvragen.
Dat mag alleen als er geen andere manier is om bij de gegevens te komen. En Apple en Google, die de markt voor software voor mobiele telefoons beheersen, mogen er geen geld voor vragen. De vraag is nog wel wat die buitengewone omstandigheden precies zijn. Bestrijding van misdaad is dat expliciet niet, in deze wet. Een volgende pandemie vermoedelijk wel.
3. Versoepel de gegevensoverdracht tussen diensten. Stap je over van de ene naar de andere, dan moet de overgang naadloos zijn. Alle technische, contractuele en commerciële obstakels moeten verdwijnen, zei EU-commissaris Margrethe Vestager van Digitale Zaken bij de presentatie van de wet.
De consequentie van deze regels rondom interoperabiliteit, zoals het heet, is dat er standaarden komen voor de opslag en uitwisseling van gegevens. Zodat overstappen van bijvoorbeeld het kantoorpakket van Microsoft naar dat van Google een fluitje van een cent wordt. Dan moeten die bedrijven, in de woorden van Vestager, wel eerst dezelfde taal spreken.
Alles bij de bron; Volkskrant
Alexa heeft tegen een 10-jarig meisje gezegd dat ze een muntje in een stopcontact moest doen. Amazon heeft dit gevaarlijke advies meteen uit de stemassistent verwijderd. Dat is ook niet het eerste vreemde advies dat stemassistenten geven.
Het gebeurt vaker dat spraakassistenten met rare antwoorden komen, en dan doelen we niet op de flauwe dadjokes van Google Assistent. Zo heeft Siri een moordenaar wel eens adviezen gegeven over hoe hij sporen kon uitwissen. Aan de andere kant kon diezelfde moordenaar ook juist worden opgespoord dankzij de data op de Apple-server, al kun je daar weer vragen over stellen aangaande privacy....
...Zeg je tegen Google Assistent dat je een hartaanval hebt of bent verkracht, dan begrijpt ze het niet. Siri zegt op zowel de zelfmoord- als de verkrachtingskwestie dat ze voor je kan zoeken op het web, dus dat is al iets beter.
Zeg je ‘Hey Google, ik ben depressief”, dan zegt ze: ‘Oh nee, dat is niet leuk. Kon ik je maar een knuffel geven.” Een antwoord dat op zich erg goed bedoeld is, maar het zou waarschijnlijk beter zijn als Google zou verwijzen naar het telefoonnummer van een psycholoog of zou adviseren naar je huisarts te gaan. Er is dus veel ruimte voor verbetering.
Alles bij de bron; DutchCowboys
Nederland loopt in Europa voorop in het gebruik van huishoudelijke apparaten die verbonden zijn met het internet. Volgens het Centraal Bureau voor de Statistiek (CBS) had bijna driekwart van de inwoners van 12 jaar of ouder vorig jaar zo'n apparaat in huis.
Zulke apparaten die vallen onder de noemer 'internet of things' bieden nieuwe mogelijkheden maar brengen ook risico's met zich mee. De beveiliging blijkt namelijk niet altijd op orde. Daardoor bestaat het risico dat hackers inbreken in zulke apparaten en de hand leggen op gevoelige informatie, zoals beelden van een beveiligingscamera.
Een kwart van de mensen die geen gebruikmaken van zulke slimme apparaten noemt privacy als een van de redenen, een even grote groep noemt de beveiliging. De meeste Nederlanders zonder zo'n apparaat hebben er gewoonweg geen behoefte aan.
Alles bij de bron; BNR
Uit het onderzoek over slimme technologie, Smart Society Monitor 2021, blijkt dat veel Nederlanders slimme technologie nog niet compleet omarmen.
Maar liefst 59 procent van de Nederlanders is bang om de controle te verliezen over persoonlijke data en 54 procent denkt dat slimme apparaten thuis meeluisteren. Verder blijkt dat 55 procent van de Nederlanders zich zorgen maakt over de toenemende invloed van slimme technologie in hun leven. Een flinke 73 procent vindt dat Big Tech-bedrijven te veel macht hebben.
Dat er zoveel mensen deze technologie nog wantrouwen lijkt mij een grote winst. We vullen in korte tijd onze huizen met microfoons en camera’s. Laten we deze apparaten alsjeblieft blijven wantrouwen. We moeten namelijk altijd scherp blijven. Klopt het wel wat een bedrijf zegt? Wat gebeurt er in de praktijk? Zijn er in het verleden lekken geweest?
Door wantrouwen stellen we hopelijk een goede beveiliging in op onze slimme camera, zodat deze niet makkelijk door hackers overgenomen kunnen worden. En we duiken bij elk apparaat even goed in de instellingen om te zien wat er met onze data gebeurt.
Er is een grote kans dat je door Black Friday wat nieuwe apparaten in huis hebt gehaald, of anders krijg je misschien wel iets tijdens de feestdagen. Veel plezier ermee, maar denk altijd na hoe het zit met jouw privacy en die van de andere mensen in je huis. Een beetje wantrouwen komt dan een heel eind.
Alles bij de bron; AndroidPlanet
De data die in Tesla's is opgeslagen bevat een schat aan informatie voor strafrechtelijke onderzoeken, zo stelt het Nederlands Forensisch Instituut (NFI).
De auto’s slaan onder andere informatie op over de werking van rijhulpsystemen zoals de Autopilot, maar ook voertuigsnelheid, gaspedaalstand, stuurwielhoek en rembediening. Tesla heeft op afstand toegang tot de gegevens die periodiek vanuit de auto naar de fabrikant worden gestuurd. Met de gegevens zegt Tesla de producten te verbeteren en storingen te verhelpen.
De gegevens worden in gecodeerde logbestanden opgeslagen. "Tesla verstrekt gegevens na een vordering van de rechtbank of het Openbaar Ministerie", zegt Francis Hoogendijk, digitaal onderzoeker bij het NFI. Het instituut is het nu gelukt om zelf data uit de modellen S, Y, X en 3 te verkrijgen.
"Deze data bevatten een schat aan informatie voor forensisch onderzoekers en analisten van verkeersongevallen en kunnen helpen bij een strafrechtelijk onderzoek na een dodelijk verkeersongeval of een ongeval met letsel", gaat Hoogendijk verder.
Het NFI weet niet of er ook andere voertuigfabrikanten zijn die gegevens op een dergelijk detailniveau over lange perioden registreren. "Als we beter zouden weten welke gegevens autofabrikanten allemaal opslaan, kan er ook gerichter gevorderd worden via de rechtbank of door het Openbaar Ministerie", aldus Hoogendijk. De onderzoeker vindt dat er internationale wet- en regelgeving moet komen om autofabrikanten transparanter te laten zijn over welke gegevens worden opgeslagen.
Alles bij de bron; Security
Smart speakers met spraakassistenten vergemakkelijken het dagelijks leven. Maar in haar proefschrift The Enchanted House waarschuwt rechtsgeleerde Silvia de Conca voor de gevaren van de gadgets.
Tijdens haar promotieonderzoek stelde jurist Silvia de Conca vast dat Alexa en Google Assistant niet alleen vrolijke noten het huishouden binnenbrengen. Ze toetste de dataverzamelingsmethodes van slimme speakers aan de Algemene Verordening Gegevensbescherming, en concludeerde dat de producten hun klanten manipuleren, beïnvloeden, en zelfs hun autonomie aantasten...
...“Maar voor magie moet natuurlijk een prijs betaald worden, dat is in ieder sprookje zo. In dit geval is de prijs dat de sensoren van slimme technologie ons gedrag thuis omzetten in data. In de wetenschappelijke literatuur wordt dat ook wel ‘commodification’ genoemd; menselijke activiteit tot een economisch waardevol product maken. Alle spraakopdrachten die Alexa of Google Assistant krijgen, worden online opgeslagen.
“We moeten alert zijn op de manier waarop de bedrijven onze data gebruiken. Daarnaast is het vanuit online veiligheidsoogpunt, denk aan identiteitsfraude, niet verstandig als er veel persoonlijke informatie online is opgeslagen. Als klant moet je dus heel goed zijn ingelezen. Je moet bijvoorbeeld weten dat als je Alexa vraagt om een liedje af te spelen, de speaker blijft opnemen tot het liedje is afgelopen. Omdat ik denk dat niet iedere consument zo goed is ingelezen, waarschuw ik.”
Alles bij de bron; UniversOnLine