Deurbelcamera's van fabrikant Eken, die ook onder allerlei andere namen worden verkocht, zijn zeer eenvoudig door kwaadwillenden over te nemen, die daarna ermanent met beelden van de videofeed kunnen meekijken. Het enige dat een aanvaller hoeft te doen is een account aanmaken via de Aiwit-app.
Vervolgens kan de aanvaller naar de deurbelcamera van zijn slachtoffer gaan en de bel indrukken om de pairingmode te starten. Vervolgens is het mogelijk om de deurbel met een wifi-netwerk te verbinden en het apparaat zo volledig over te nemen. Daarna is het mogelijk om live met de camera mee te kijken. Ook kan de aanvaller dan het serienummer van de camera achterhalen.
De oorspronkelijke eigenaar krijgt, wanneer een aanvaller zijn telefoon aan de deurbelcamera koppelt, bericht dat hij geen toegang meer heeft. Door zijn telefoon opnieuw te pairen is het mogelijk voor de eigenaar om de controle weer terug te krijgen. Een probleem is echter dat een aanvaller met het achterhaalde serienummer van de deurbelcamera beelden van de videofeed kan blijven bekijken, ook al is zijn telefoon niet meer gepaird. Hiervoor is geen account of wachtwoord vereist en de eigenaar krijgt hier geen melding van.
Tevens blijkt dat de deurbelcamera's ook het ip-adres en wifi-netwerknaam onversleuteld naar het internet versturen. De camera's worden in allerlei webshops en op online marktplaatsen aangeboden, ook in Nederland. De Android-app van Eken is meer dan een miljoen keer gedownload. De problemen zijn bij de deurbelcamerafabrikant aangemeld, maar er is geen reactie op ontvangen.
Alles bij de bron; Security
Recentelijk verscheen in de VS een nieuw apparaat, de AI-pin, volgens de bedenkers de opvolger van de smartphone. Je bevestigt het apparaatje op je jas of je trui en het heeft allerlei functies die je ook van je smartphone gewend bent en is daarnaast een persoonlijk af te stemmen digitale assistent.
Het heeft geen scherm, maar een projector. De bediening gaat via je stem. Door je hand als een klein projectscherm voor je uit te strekken, kan op je hand het beeld worden geprojecteerd.....
.....Het gebruik van de AI-pin heeft ook een keerzijde, namelijk het verder aantasten van onze privacy. Sterker nog: het is een echte privacy-killer. Waarbij het recht op privacy iemands recht is om met rust te worden gelaten en over het recht op je eigen informatie, niet over het verbergen van geheimen.
Met de AI-pin kun je gemakkelijk ongevraagd mensen filmen bijvoorbeeld in een supermarkt, bij alles wat ze doen en kopen, niemand die het merkt. We zeggen privacy heel belangrijk te vinden, maar we handelen er vaak niet naar. Laten we zuinig zijn op de privacy van onszelf en anderen.
Alles bij de bron; ED [premium art]
Onderzoekers van beveiliger Kaspersky hebben in de ‘snelgroeiende’ wereld van Internet of Things (IoT) enkele grote bedreigingen benoemd.
In die wereld (er zijn in 2030 meer dan 29 miljard IoT-apparaten) is een ‘bloeiende ondergrondse economie op het darkweb’ te zien, gericht op IoT-gerelateerde diensten zoals DDoS-aanvallen via IoT-botnets.
Die aanvallen kosten soms niet meer dan twintig dollar per dag. Het darkweb biedt daarnaast exploits voor zero-day kwetsbaarheden in IoT-apparaten en andere IoT-malware die er soms alleen maar op gericht is om rivaliserende malware te dwarsbomen. IoT-apparaten zijn daarnaast vatbaar voor ransomware, miners en proxy bots.
Leveranciers van IoT-apparaten moeten daarom meer aan cybersecurity doen, in zowel consumenten- als industriële apparaten. ‘Het veranderen van standaardwachtwoorden op IoT-apparaten zou verplicht moeten zijn’, aldus Kaspersky. Leveranciers zouden verder consequent patches moeten uitbrengen om kwetsbaarheden te verhelpen.
Alles bij de bron; Cops-in-Cyberspace
Als je een stofzuiger koopt, een boek of een auto, dan is-ie van jou. Dan kun je ermee doen wat je wilt. Toch? Nee helaas, dat was vroeger zo. Bezit heeft, bijna ongemerkt, een nieuwe betekenis gekregen. Producten, of eigenlijk hun makers, hebben een eigen wil.
De afgelopen tien jaar stortten fabrikanten zich op de productie van ‘slimme’ apparaten. Die bedien je met een app, die kunnen veel meer dan traditionele apparaten en ze zijn minder snel achterhaald, omdat ze geüpdate kunnen worden. Hartstikke handig.
Eén nadeel: jij koopt die slimme wasmachine, fotocamera of grasmaaier, maar de software die nodig is om de apparaten te laten werken, die blijft in bezit van de fabrikanten. En die kunnen, naar eigen inzicht, de spelregels aanpassen...
...Het zijn de smartphones die consumenten rijp maakten voor deze ontwikkeling. Iedereen is eraan gewend dat die ineens anders werken of er anders uitzien, al is het niet altijd tot tevredenheid.
Bijna ongemerkt worden veel elektrische apparaten als de smartphone. De slimme koelkast, slimme thermostaat, slimme stofzuiger, ja zelfs de waterkoker draait op software waar consumenten geen controle over hebben. Software as a service heet dat, kortweg Saas.
Dat de klant een fysiek product koopt, maar niet de software die nodig is om het te laten werken, vindt Anouk Ruhaak, de directeur van de Stichting Databescherming Nederland ‘een problematisch verhaal’. “Je kunt er niet vanop aan dat die software blijft functioneren. Wat gebeurt er als een bedrijf failliet gaat? Stopt dan je slimme stofzuiger ermee, terwijl er niets mee aan de hand is?”
Dat zou zomaar kunnen, weet Eric van Ballegoie, reviewcoördinator van technologiesite Tweakers, uit ervaring. Hij kocht een drone van een kleine fabrikant. “Die ging failliet. De app die je ervoor nodig hebt, werkt niet met moderne Android-versies. Ik kan dat ding niet meer gebruiken, dus ik ben niet echt eigenaar van die drone. Waar bijna niemand aan denkt is dat zoiets ook kan gebeuren als VanMoof failliet gaat, want hun fietsen zet je met een app op slot. Wil je die nog open krijgen, dan moet die app werken. Denk dus goed na voor je een product koopt dat werkt met een app.”...
...Saas en Faas ontnemen consumenten deels de controle over hun aankopen en geven fabrikanten invloed. Maar er is nog een reden waarom fabrikanten er dol op zijn: data. Slimme stofzuigers, fietsen, grasmaaiers, waterkokers, thermostaten, koelkasten, auto’s, allemaal sturen ze informatie over de koper naar de fabrikant.
....Een slimme koelkast heeft een soort tablet op de deur en ziet wat hij koelt. En via een app kun je houdbaarheidsdata bijhouden. Handig.
Die koelkast stuurt zijn gegevens naar de cloud van welk merk hij ook is. “Niet alleen over hoe je die koelkast gebruikt”, zegt Linnet Taylor, hoogleraar international data governance aan de Tilburg Universiteit, “maar ook over wat je eet, hoe je dag eruit ziet, met hoeveel mensen je in huis woont.”
Amazon kan zo complete dossiers van zijn klanten samenstellen. Het is eigenaar van ebookreader Kindle, streamingsplatform Twitch, slimme luidspreker Alexa, robotstofzuiger Roomba en uiteraard het online warenhuis Amazon.
Daarnaast volgt het bedrijf zijn klanten op honderden websites, waaronder Funda, Tripadvisor en Uitmetkinderen.nl. Uit al die bronnen haalt Amazon informatie. “We weten niet goed hoeveel data er worden verstuurd en welke data”, zegt Ruhaak. “Wat we wel weten is dat de Roomba een redelijk idee heeft hoe je huis er van binnen uitziet.”
Bedrijven kunnen data zelf gebruiken, maar ze kunnen die ook verkopen aan datahandelaren als Axcoim. Dat bedrijf had in 2019 van ongeveer 2,5 miljard mensen zo’n 10.000 gegevenspunten.
Fabrikanten mogen niet zomaar alle gegevens van die slimme koelkast doorverkopen aan datahandelaren. Privacywetgeving verplicht ze om die verkoop aan de consument te melden in de gebruiksvoorwaarden. Bij de aankoop weet je dus waar je mee instemt en kun je afwegen: wil ik echt een slim apparaat of toch maar een zonder software? Alleen, wie leest de gebruiksvoorwaarden?
...sinds vorige maand geldt in de Europese Unie nieuwe wetgeving die het grote techbedrijven moeilijker maakt om vrijuit met data te spelen. Zij moeten transparanter zijn over wat zij met de data doen en er komen strengere regels voor advertenties.
Maar de consument zelf is ook aan zet. Een boodschap die Amerikaanse boeren ter harte namen. Zij waren gewend om zelf de kleine reparaties te verrichten aan hun trekkers. Producent John Deere stak daar een stokje voor. ‘Ongeautoriseerd repareren’ kon niet meer. Dus hackten de Amerikanen hun eigen tractoren, gevolgd door boeren in de rest van de wereld. Met succes: er geldt nu in de VS een recht-op-reparatiewet.
Alles bij de bron; Trouw [lekker lang weekend artikel]
Ethische hackers ontdekten zeker twintig beveiligingsfouten bij maar liefst zestien verschillende merken. Die kunnen worden misbruikt om de locatie van de auto’s te bepalen, ze te ver- en ontgrendelen, de motor te starten en te stoppen, accounts over te nemen en op afstand commando’s uit te voeren.
De kwetsbaarheden zitten onder andere in de application programming interfaces (api's) waarop autofabrikanten vertrouwen zodat de technologie in auto's met elkaar kan communiceren. Het betreft onder meer de merken Ford, Toyota, Mercedes, BMW, Porsche en Ferrari.
‘De auto-industrie rolt aan hoog tempo allerhande functionaliteiten uit voor remote access and control’, stelt John Pescatore, manager Emerging Security Trends bij it-beveiligingsadviseur en -opleider het Sans Institute. ‘Jammer genoeg is het een feit dat veel online apps en portalen van autobouwers niet noemenswaardig op veiligheid getest zijn voordat ze voor het publiek worden opengesteld.’
Een rode draad zijn bijvoorbeeld serviceportalen die zwakke single-sign-on-implementaties gebruiken om klanten gemakkelijk toegang te geven tot bepaalde diensten via apps en webbrowsers (en die daardoor gemakkelijker te kraken zijn). En doordat mobiele apps, websites, netwerken en (externe) diensten meer en meer met elkaar verbonden zijn, is het cliché van ‘de zwakste schakel’ hier van toepassing.
‘Third-party software moet volledig getest worden, net als intern ontwikkelde code. Op langere termijn is het duidelijk dat het ontwerpen en testen van veilige software een steeds belangrijker onderdeel van het autofabricageproces zal worden. En dat is niet meer dan terecht.’
Alles bij de bron; Computable
In twee wireless network bridges van fabrikant Hikvision is een kritieke kwetsbaarheid gevonden waardoor een aanvaller op afstand met aangesloten beveiligingscamera's kan meekijken of daarop aanvallen kan uitvoeren.
De DS-3WF0AC-2NT en DS-3WF01C-2N/O zijn network bridges voor beveiligingscamera's. De camera wordt op de bridge aangesloten die vervolgens de camerabeelden draadloos verstuurt.
De managementinterface van de apparaten gaat niet goed om met gebruikersinvoer. Door het versturen van een speciaal geprepareerd pakket kan een aanvaller beheerderstoegang krijgen. Dit kan zowel vanaf het internet als lokaal netwerk, zolang een aanvaller toegang tot de interface heeft. Vervolgens is het mogelijk om met de aangesloten camera's mee te kijken of die aan te vallen.
De impact van de kwetsbaarheid, aangeduid als CVE-2022-28173, is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Onderzoekers ontdekten het beveiligingslek op 11 augustus en rapporteerden dit op 16 september bij het Indiase CERT. Hikvision bevestigde de kwetsbaarheid op 4 november en kwam op 16 december met een firmware-update.
Alles bij de bron; Security
We zijn uitgepraat. Al een tijdje. Na meer dan zeven jaar samenwonen met Alexa, de digitale assistent van Amazon, heb ik haar verbannen van het aanrechtblad naar een bureaula. Al is de stekker eruit, soms denk ik nog een fluisterend ‘Why?’ te horen.
Na jaren experimenteren met spraakassistenten luidt de conclusie dat ze er niet veel slimmer op geworden zijn. In de praktijk voeren smart speakers alleen de simpelste commando’s uit: speel een liedje, zet een wekker, doe de lampen aan. Dingen die je ook met een app op je telefoon kunt doen. Of – je gelooft het niet – met je eigen handen. Vaak sneller, zonder misverstanden of microfoons in huis....
....Carla Verwijmeren is bestuurslid van de Nederlandstalige Spraakcoalitie, een stichting die een Nederlands spraakmodel ontwikkelt met de bedoeling dat het trainingsmodel wordt gebouwd op geanonimiseerde opnames van klantengesprekken – op een manier die geen privacyregels schendt.
Dat bleken de smart speakers wel te doen: ze luisterden ongevraagd mee in keukens en slaapkamers. Al sloeg big tech de plank mis met de smart speakers, dat wil niet zeggen dat je geen goede lokale versie van een digitale assistent kunt bouwen – eentje die bijvoorbeeld ook goed overweg kan met oudere stemmen of met Nederlandse dialecten en accenten.
De virtuele assistent sluipt ons leven binnen, bijvoorbeeld door je e-mail te lezen en alvast antwoorden te suggereren, of veelgebruikte apps te tonen op het juiste tijdstip. Praten met assistenten via speakers komt echter niet van de grond.
Ondertussen wil Amazon meer advertenties afspelen op zijn speakers – het geld moet ergens vandaan komen. Alexa groeit uit tot een ‘ambient’ intelligentie die weet wat er in en rond je huis gebeurt, via camera’s, microfoons en andere sensoren. Amazon koopt iRobot voor 1,7 miljard dollar. Deze producent van robotstofzuigers kent de weg in miljoenen woningen – vandaar dat de Britse privacywaakhond daar vraagtekens bij stelt.
Alles bij de bron; NRC
Fabrikanten en verkopers van apparaten die zijn verbonden met het internet, moeten die apparatuur beter gaan beschermen tegen hackers en virussen. Daartoe heeft de Europese Commissie donderdag een voorstel ingediend.
Cybercriminelen slaan steeds vaker toe met bijvoorbeeld gijzelsoftware en richten voor vele miljarden aan schade toe. De Europese Commissie vindt dat er niet van consumenten verwacht mag worden dat ze zich wapenen tegen zulke aanvallen.
Ook stelt de Europese Commissie dat fabrikanten opener moeten zijn over de veiligheidsrisico's van hun apparaten. Voor ze hun apparatuur op de markt brengen, maar ook daarna moeten ze de risico's voortdurend tegen het licht houden.
In de eerste vijf jaar nadat een product op de markt is gebracht, moeten de fabrikanten beveiligingslekken en andere problemen binnen 24 uur melden. Vervolgens moeten ze ook met oplossingen komen.
Alles bij de bron; NU
We zijn allang niet meer eigenaar van de hele auto, de hele robotstofzuiger of de hele televisie. Al die (slimme) apparaten genereren data waar in veel gevallen alleen de fabrikant bij kan.
Om daar verandering in te brengen presenteerde de Europese Commissie in februari de Data Act of datawet. Een wetsvoorstel om te verankeren wie wat mag met welke gegevens. Daarbij gaat het om data van slimme apparaten: meer persoonlijke gegevens (bestelgeschiedenis van een webshop, reisgegevens van een ov-kaart) vallen onder andere wet- en regelgeving.
De Europese lidstaten en het Europees Parlement onderhandelen momenteel over het voorstel, zij moeten het goedkeuren. Tot die tijd is het onduidelijk wat de impact voor bedrijven en consumenten precies zal zijn. Grofweg leunt de wet op deze drie pijlers.
1. Laat de gebruiker van een slim apparaat bepalen wie bij de gegevens kan. Daarbij gaat het om data die het apparaat zelf genereert en om zogenoemde metadata: gegevens over de werking van een slim apparaat.
2. Laat overheden gegevens opvragen van apparaten in ‘buitengewone omstandigheden’. Het overgrote deel van Nederland loopt constant met een pakket aan sensoren en gps-gegevens rond in broekzak of tas: een smartphone. ...In dat soort ‘buitengewone omstandigheden’ moeten overheden gegevens van onze apparaten kunnen opvragen.
Dat mag alleen als er geen andere manier is om bij de gegevens te komen. En Apple en Google, die de markt voor software voor mobiele telefoons beheersen, mogen er geen geld voor vragen. De vraag is nog wel wat die buitengewone omstandigheden precies zijn. Bestrijding van misdaad is dat expliciet niet, in deze wet. Een volgende pandemie vermoedelijk wel.
3. Versoepel de gegevensoverdracht tussen diensten. Stap je over van de ene naar de andere, dan moet de overgang naadloos zijn. Alle technische, contractuele en commerciële obstakels moeten verdwijnen, zei EU-commissaris Margrethe Vestager van Digitale Zaken bij de presentatie van de wet.
De consequentie van deze regels rondom interoperabiliteit, zoals het heet, is dat er standaarden komen voor de opslag en uitwisseling van gegevens. Zodat overstappen van bijvoorbeeld het kantoorpakket van Microsoft naar dat van Google een fluitje van een cent wordt. Dan moeten die bedrijven, in de woorden van Vestager, wel eerst dezelfde taal spreken.
Alles bij de bron; Volkskrant
Alexa heeft tegen een 10-jarig meisje gezegd dat ze een muntje in een stopcontact moest doen. Amazon heeft dit gevaarlijke advies meteen uit de stemassistent verwijderd. Dat is ook niet het eerste vreemde advies dat stemassistenten geven.
Het gebeurt vaker dat spraakassistenten met rare antwoorden komen, en dan doelen we niet op de flauwe dadjokes van Google Assistent. Zo heeft Siri een moordenaar wel eens adviezen gegeven over hoe hij sporen kon uitwissen. Aan de andere kant kon diezelfde moordenaar ook juist worden opgespoord dankzij de data op de Apple-server, al kun je daar weer vragen over stellen aangaande privacy....
...Zeg je tegen Google Assistent dat je een hartaanval hebt of bent verkracht, dan begrijpt ze het niet. Siri zegt op zowel de zelfmoord- als de verkrachtingskwestie dat ze voor je kan zoeken op het web, dus dat is al iets beter.
Zeg je ‘Hey Google, ik ben depressief”, dan zegt ze: ‘Oh nee, dat is niet leuk. Kon ik je maar een knuffel geven.” Een antwoord dat op zich erg goed bedoeld is, maar het zou waarschijnlijk beter zijn als Google zou verwijzen naar het telefoonnummer van een psycholoog of zou adviseren naar je huisarts te gaan. Er is dus veel ruimte voor verbetering.
Alles bij de bron; DutchCowboys