IoT - Internet of Things

Een fabrikant van Internet of Thing-seksspeeltjes had gevoelige klantgegevens niet goed beveiligd, waardoor aanvallers toegang hadden kunnen krijgen tot onversleutelde wachtwoorden, e-mailadressen, adresgegevens, chatgesprekken, vriendenlijsten, naaktfoto's en de seksuele geaardheid van klanten. Ook was het mogelijk voor aanvallers om willekeurige IoT-seksspeeltjes op afstand, zowel via bluetooth als het internet en zonder toestemming van de eigenaar, te besturen.

De app fungeert niet alleen als afstandsbediening, het biedt ook meerdere features om te communiceren en andere gebruikers te vinden. Zo is er een vriendenlijst, videochatfunctie, forum en de mogelijkheid om met andere gebruikers beelden uit te wisselen. Onderzoekers ontdekten acht kwetsbaarheden in de apparatuur en infrastructuur van het IoT-seksspeeltje.

In de webroot van vibratissimo.com werd een .DS_STORE bestand gevonden met de gebruikersnaam en het wachtwoord voor de database. Een aanvaller had zo gevoelige informatie kunnen achterhalen, waaronder afbeeldingen en adresgegevens Verder was de phpMyAdmin-installatie voor iedereen op internet toegankelijk en kon via het eerder achterhaalde wachtwoord worden benaderd. Het bedrijf bleek verder wachtwoorden onversleuteld op te slaan.

Alles bij de bron; Security


 

Sonos Play:1-speakers kunnen via wifi en ethernet op internet worden aangesloten. Fabrikant Sonos heeft een beveiligingsupdate uitgebracht voor een informatielek in de Play:1-speakers waardoor het voor kwaadwillenden mogelijk was om informatie over gebruikers te achterhalen, zoals muziekvoorkeur, e-mailadres en of de gebruiker thuis is of niet.

Dat laat anti-virusbedrijf Trend Micro weten (pdf). De onderzoekers hebben een Nmap-scan op het netwerk uitgevoerd om te zien welke poorten op de Sonos open stonden. In totaal werden drie UPnP-poorten aangetroffen, alsmede een statuspagina met allerlei informatie over het systeem. Deze pagina bevatte informatie over gebruikers, zoals het e-mailadres dat voor streamingdiensten was ingesteld.

Via de SOAP XML-interface, die wordt gebruikt om informatie tussen de client en het systeem uit te wisselen, was bijvoorbeeld een luisterpatroon te achterhalen waarmee kon worden bepaald of de gebruiker thuis is. Ook de muziekvoorkeuren van gebruikers waren te achterhalen. Aanvallers zouden die informatie voor gerichte aanvallen kunnen gebruiken, aldus Trend Micro.

De virusbestrijder ontdekte zo'n 5.000 Sonos-speakers die via internet toegankelijk waren en risico liepen dat er informatie over gebruikers werden achterhaald. De SoundTouch-speakers van Bose zouden ook verschillende van dezelfde kwetsbaarheden bevatten die bij Sonos werden aangetroffen. Bose werd ook ingelicht, maar heeft nog geen reactie gegeven of update uitgebracht.

Alles bij de bron; Security


 

Test Aankoop onderzocht zeven speelgoedrobots. Twee daarvan sturen persoonlijke gegevens naar een bedrijf dat online data verzamelt. Uit voorzorg raadt de consumentenorganisatie de aankoop van de twee robots af...

...de 'Sphero BB-8' uit Star Wars en de robothond 'WowWee Chip' sturen persoonlijke gegevens en de identiteit van de smartphone of tablet waarmee ze bestuurd worden naar het bedrijf Flurry, zonder medeweten van en zonder meerwaarde voor de gebruiker, aldus Test Aankoop. "De 'WowWee Chip' is zelfs zonder code-opgave te besturen via bluetooth. Dat wil zeggen dat een buurman in theorie de controle op de hond zou kunnen overnemen."

De consumentenorganisatie beveelt ouders die zo'n speelgoed willen aankopen aan om zich goed te informeren en er zich bewust van te zijn dat er momenteel nog geen duidelijke wetgeving is om dergelijke apparaten te kaderen qua veiligheid en qua bescherming van het privéleven.

Alles bij de bron; Knack

Aanvulling;

De onveilige smart speelgoedvogel Teksta Toucan maakt het mogelijk voor aanvallers om kinderen op afstand af te luisteren en audiobestanden voor hen af te spelen. De Toucan kan via een smartphone-app bediend worden. De communicatie tussen de vogel en app vindt plaats via bluetooth.

De vogel is uitgerust met zowel een microfoon als speaker en beschikt over stemherkenningstechnologie. De speelgoedvogel heeft veel gemeen met de My Friend Cayla en i-Que Intelligent Robot. In dit speelgoed werden door de Noorse Consumentenbond Forbrukerrådet allerlei kwetsbaarheden aangetroffen, wat uiteindelijk tot een verbod in Duitsland leidde.

De Teksta Toucan bevat net als de Cayla en i-Que ook allerlei kwetsbaarheden. Zo is het eenvoudig om via bluetooth verbinding met het speelgoed te maken en audio af te spelen. Daarnaast kan een aanvaller van de microfoon gebruikmaken om de omgeving af te luisteren.

Alles bij de bron; Security


 

De gemeente Den Haag en Eneco starten met het installeren van slimme lantaarnpalen op Scheveningen. De lichtmasten zijn er in de toekomst niet alleen om licht te geven, er worden ook allerlei technologische snufjes ingebouwd. 

Aan de masten worden sensoren en objecten, zoals camera's toegevoegd. Zo kunnen de lichtmasten op afstand bediend worden waardoor de verlichting kan worden aangepast. Er worden tussen de 500 en 800 slimme masten geplaatst. De masten kunnen ook de luchtkwaliteit meten en er wordt een WIFI netwerk aan gekoppeld met 5 G. 

Geluidsoverlast en verkeersdrukte kunnen er mee opgemerkt worden. Daarnaast bieden de slimme lichtmasten mogelijkheden voor het signaleren van vrije parkeerplaatsen. Door gebruik te maken van data en meer te meten in openbare ruimtes kan efficiënter om worden gegaan met tijd, geld, ruimte en energie, zo is het idee.

Alles bij de bron; OmroepWest [Thnx-2-Luc]


 

Een applicatie van Lovense, maker van 'slimme' seksspeeltjes, bleek geluid op te nemen zonder dat de gebruiker daar toestemming voor geeft. Een gebruiker ontdekte dat er stiekem geluidsopnames werden gemaakt tijdens het gebruik van de app.

Een gebruiker op Reddit ontdekte dat de app een audiobestand had aangemaakt met een volledige geluidsopname van zes minuten. De gebruiker had de app toestemming gegeven om de microfoon en camera te gebruiken, maar dit was bedoeld voor de chatfunctie van de app waarmee geluidsclips kunnen worden verstuurd. De gebruiker wist niet dat de volledige sessie werd opgenomen en opgeslagen.

Lovense noemt het maken van geluidsopnames een kleine bug, die tevens alleen de Android-versie van de applicatie zou treffen; iOS-gebruikers zouden nergens last van hebben. Er wordt echter niet duidelijk gemaakt hoe het opnemen van audiobestanden in de software is geslopen, maar Lovense noemt het een cache-bestand en er zou geen data naar de servers van het bedrijf worden gestuurd. De Android-app is tussen de 100.000 en 500.000 keer geïnstalleerd. Lovense kwam in oktober en in juli ook al in het nieuws wegens kwetsbaarheden in de IoT-producten van het bedrijf.

Inmiddels is er een nieuwe versie van de Lovense-applicatie verschenen waarin niet langer geluidsopnames worden gemaakt. De nieuwe versie verwijdert ook het tempSoundPlay.3gp-bestand, mocht dit op de smartphone aanwezig zijn.

Alles bij de bronnen; Security & Tweakers


 

Mozilla zet op een rijtje van populaire producten of ze je privacy wel voldoende beschermen. Zo weet je van tevoren of bijvoorbeeld je Quantified Self alleen bij jou blijft. Mozilla heeft met sinterkerst voor de deur een beknopte catalogus gepubliceerd waarin populaire cadeau's voor onder de kerstboom tegen het licht worden gehouden om te zien of ze wel voldoende de privacy van gebruikers respecteren.

Mozilla kijkt naar de technologie die het apparaat bevat en de privacyinstellingen die je kunt beheren en publiceert per apparaat een grafiek zoals hieronder en links naar de gebruikersvoorwaarden. Het gaat daarbij niet alleen om de hardware zelf, maar ook om de hardware van de gekoppelde telefoon, als de app bijvoorbeeld toestemming heeft om de camera te gebruiken.

Het is sowieso goed om hier eens bij stil te staan, want je komt wat verrassende dingen tegen. Van een IoT-apparaat als Fitbit verwacht je vast wel dat het bedrijf erachter veel data over je heeft, maar moderne elektrische tandenborstels? Mozilla geeft verdacht veel rode symbolen bij een borstel die poetsgedrag monitort met behulp van een app.

Alles bij de bron; WebWereld


 

Sensoren in het wegdek controleren voortaan of de maximum duur van 30 minuten dat een auto mag parkeren op een shop-and-go plaats in het Leuvense stadscentrum niet overschreden wordt. In geval van een overschrijding worden automatisch de parkeerwachters verwittigd om de voorziene boete van 27,50 euro uit te schrijven. 

Alles bij de bron; HLN [Thnx-2-Luc]


 

Uw volgende bed wordt een ‘slim bed’. Uitgerust met allerlei sensoren en verbonden met het internet, biedt dit bed spannende nieuwe functies voor uw gezondheid en uw slaapplezier. Zo registreert het bed uw ademhaling en slaapcyclus. Kleine elektromotoren bij de veren kunnen u masseren, snurken en apneu voorkomen, en u wekken volgens uw natuurlijke slaapritme.

Daarnaast houdt het slimme bed de hygiëne in de gaten. Wist u dat uw huid continu vervelt en deze cellen allemaal in de bovenlaag van uw matras terechtkomen? Deze voeden vervolgens koloniën aan huisstofmijt, bacteriën en schimmels. Maar het slimme bed is deze beestjes te slim af. Sensoren leggen vast hoeveel van de ongewenste stoffen vrijkomen en het bed bestelt zelf tijdig een nieuw afritsbare bovenlaag.

Uw smart bed inkruipen wordt heerlijk. Of ligt hier een bedluisje onder de matras?

Techbedrijven die deze nieuwe slaapdiensten ontwikkelen hebben andere doelen dan het verhogen van uw slaapplezier. Zij willen uw meest intieme data verzamelen, analyseren en doorverkopen aan adverteerders. Daar zit groot geld in.

Wanneer heeft de consument schoon genoeg van al deze technologische indringers? Vindt de Nederlandse burger het te ver gaan wanneer die, na een onrustige nacht, de volgende ochtend zijn smartphone of tablet pakt en er direct een online reclame voor slaapmiddelen verschijnt? Of een commerciële boodschap voor seks-tips, relatietherapie of scheidingsadvocaten?

Vanaf 25 mei 2018 moet elk in de EU opererend bedrijf zich houden aan de nieuwe Europese privacyregels: de Algemene Verordening Gegevensbescherming, maar de techgiganten zijn hard bezig om een manier te vinden om uw slaapgegevens toch in te zetten voor gerichte reclame. Zelfs als u dat zelf niet wilt. Ook zullen beddenbedrijven nieuwe verdienmodellen gaan verkennen. Straks kopen we geen eigen bed, maar abonneren we ons op een slaapcomfortdienst...

...De vrees voor ongewenste pottenkijkers geldt niet alleen voor bedden. Een goede oplossing voor deze sector kan een basisprincipe gaan vormen voor werkelijk alle datadiensten. Nou daar zit écht groot geld in! De tijd dat vreemde bedrijven vrijelijk in onze zeer persoonlijke data kunnen graaien, moet straks tot het verleden behoren. Pas dan kunnen we gerust gaan slapen.

Alles bij de bron; FD [inloggen noodzakelijk]


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha