De Google Assistent krijgt een gastmodus. Zodra je deze aanzet slaat de digitale butler geen persoonlijke gegevens van jou en je gasten op. De nieuwe functie rolt in de komende weken uit voor alle apparaten met de Google Assistent.
De nieuwe modus wordt geactiveerd via een stemcommando en zorgt ervoor dat de inhoud van je verzoeken vergeten worden, net als bijvoorbeeld de incognitomodus van je browser. Verder maakt de gastmodus van de Google Assistent geen gebruik van persoonlijk opgeslagen informatie, zoals je agenda-afspraken.
De nieuwe gastmodus werkt straks op alle apparaten met een Google Assistent, waaronder speakers (als de onlangs verschenen Nest Audio) en slimme schermen, zoals de Nest Hub. Google rolt de gastmodus “in de komende weken” uit, zonder een specifieke datum te noemen. Het bedrijf laat eveneens in het midden wat voor specifiek stemcommando je moet gebruiken om ‘privacystand’ aan te zetten.
Alles bij de bron; AndroidPlanet
Door een fout in het beveiligingssysteem van een digitale kuisheidsgordel, kan een hacker ineens de controle over de edele delen van een man overnemen. Het seksspeeltje kan op afstand worden vergrendeld en dan is het geslachtsdeel van de mannelijke gebruiker er met geen mogelijkheid uit te krijgen.
Cellmate is ontwikkeld door het Chinese bedrijf Qiui. Een man kan er zijn geslachtsdeel in schuiven. Vervolgens wordt het elektronische apparaat vergrendeld. De kuisheidsgordel kan alleen ontgrendeld worden met behulp van Bluetooth of via een app op de smartphone. Er is dus geen fysieke sleutel of de mogelijkheid het apparaat met de hand te openen.
Onderzoekers uit Groot-Britannië ontdekten verschillende kwetsbaarheden in het beveiligingssysteem. „We ontdekten dat hackers op afstand kunnen voorkomen dat het Bluetooth-slot wordt geopend, waardoor het geslachtsdeel van de gebruiker vast komt te zitten in het apparaat.” Volgens de onderzoekers kan in dat geval alleen een slijptol of ander geschikt gereedschap nog uitkomst bieden.
Door het lek kunnen de hackers ook persoonlijke gegevens van de gebruikers inzien. Het Chinese Qiui is in april al op de hoogte, maar gebruikers van de oudere versies van het digitale apparaat blijven kwetsbaar.
Alles bij de bron; Telegraaf
Een koffiemachine van het merk Smarter waarvan het beeldscherm meldt: "Want your machine back?" met een bitly-adres dat naar een betaalsite leidt. Martin Hron - een onderzoeker bij IT-beveiliger Avast - zocht uit wat er mogelijk was bij het hacken van een met internet verbonden koffiezetapparaat. "Firmware is de nieuwe software, en die software zit vaak vol fouten", is zijn waarschuwing bij de trend allerlei apparatuur 'smart' te maken door ze aan het internet te hangen...
...Het grote probleem is dat producenten van 'slimme' apparaten zoals huishoudapparatuur willen dat het gebruik zo simpel mogelijk is en gebruiksgemak gaat vaak niet samen met beveiliging. Ook in dit geval maakte de koffiemachine gelijk na de eerste keer aanzetten een eigen wifi-netwerkje waarmee de gebruiker via een app een aantal instellingen kan aanpassen. Het protocol dat de fabrikant daarvoor heeft ingebakken bevat vrijwel geen bescherming in de vorm van versleuteling, autorisatie of authenticatie.
Uiteindelijk slaagde Hron er in vanaf het internet de complete firmware te vervangen.
Alles bij de bron; AGConnect
Meer dan een half miljoen Nederlandse huishoudens zouden inmiddels gebruikmaken van een slimme deurbel. Daarmee is het aantal slimme deurbellen in Nederland sinds 2018 verdubbeld, stelt het marktbureau. De helft van al deze apparaten zou zijn gemaakt door Amazon-dochterbedrijf Ring.
Het aantal huishoudens met een beveiligingssysteem is gegroeid naar 18 procent, ten opzichte van 15 procent in 2018. Het populairst is de beveiligingscamera, die in een op de tien huishoudens te vinden is. Volgens de onderzoekers hebben Nederlanders in het afgelopen jaar 183 miljoen euro besteed aan slimme beveiligingscamera's. In totaal werd 550 miljoen euro uitgegeven aan beveiligingssystemen.
Multiscope onderzoekt vaker technologie en de impact hiervan in Nederland. Het bedrijf merkte eerder dit jaar op dat Nederlanders voor in totaal 2,5 miljard euro aan smarthomeapparaten in huis hebben staan.
Alles bij de bron; NU
Fabrikant van bluetooth-deursloten U-Tec heeft van een onbekend aantal gebruikers de data gelekt waarmee hun deuren op afstand waren te openen.
Deze firma levert Ultraloq-sloten die op afstand zijn te bedienen. De sloten kunnen via een vingerafdruk, code en smartphone worden geopend. De Ultraloq werkt via het MQTT-protocol (Message Queuing Telemetry Transport) dat wordt gebruikt om smart home-apparaten mee te bedienen en met elkaar te laten verbinden. Daarbij loopt de communicatie tussen de gebruiker en het slot via een MQTT-server.
In het geval van U-Tec was hun MQTT-server voor iedereen op internet toegankelijk en geïndexeerd door zoekmachine Shodan. Doordat er geen authenticatie werd gebruikt was het mogelijk om data op de server op te vragen. Via Shodan ontdekte Young de server. Die bleek de e-mailadressen, lokale mac-adressen, publieke ip-adressen en ontgrendelcodes van gebruikers te bevatten.
Vervolgens ontdekte Young dat het mogelijk was om de data opnieuw af te spelen, waardoor een aanvaller op afstand het deurslot zou kunnen openen. "Wanneer iemand ooit de deur met de U-Tec-app opendoet, zal de aanvaller het token in handen krijgen om de deur op elk willekeurig moment te openen." Aan de hand van het ip-adres zou het mogelijk zijn om de locatie van gebruikers te achterhalen. Daarnaast blijkt het slot ook het lokale mac-adres uit te zenden wat een aanvaller zou kunnen helpen.
Volgens de onderzoeker gaat het probleem verder dan alleen deursloten en hebben tal van bedrijven hun MQTT-server niet beveiligd waardoor misbruik op de loer ligt.
Alles bij de bron; Security
Op sommige plekken in het UMC Utrecht wordt het wat sneller druk. Te druk soms, zegt het UMC. ‘We onderzoeken nu of we dit kunnen meten door wifi-signalen real-time te meten. Zo hopen we dat we snel kunnen ingrijpen op plekken waar het toch te druk dreigt te worden’, zegt Remco van Lunteren, divisiemanager en lid team integrale capaciteit.
De mobiele apparaten van patiënten, bezoekers en medewerkers zenden wifi-signalen uit. Het UMC Utrecht kan deze gegevens niet herleiden; alleen het aantal unieke apparaten met actieve wifi-signalen worden geteld. Het is dus niet bekend van wie de apparaten zijn en wie er in het ziekenhuis aanwezig zijn.
Alles bij de bron; EMerce
De Consumentenbond slaat alarm over onveilige Chinese ip-camera's in Nederland, die het met onkruid vergelijkt. Aanleiding is nieuw onderzoek, waaruit blijkt dat 27.000 Nederlandse ip-camera's risico lopen om door aanvallers te worden overgeomen. Het probleem wordt veroorzaakt doordat de camera's van een voorspelbaar uniek identificatienummer (UID) gebruikmaken.
De voorspelbare UID's zijn onderdeel van een bepaalde module (ILnkP2P) die in camera’s van honderden merken zit. Al die merken maken weer gebruik van verschillende apps om de camera's te bedienen. Gebruikers installeren de mobiele app en scannen de barcode op het apparaat of voeren het zescijferige UID in. De p2p-software regelt de rest. De iLnkP2P-apparaten bieden geen authenticatie of versleuteling en zijn eenvoudig te enumereren. Een aanvaller kan zo op afstand verbinding met de apparaten maken.
Vervolgens is het mogelijk om met de camera mee te kijken, het wachtwoord te wijzigen of andere aanvallen uit te voeren. De Consumentenbond stelt dat met name ip-camera's die via de CamHi-app zijn te bedienen risico lopen. Deze app is voor 38 procent van de 27.000 onveilige ip-camera's in Nederland verantwoordelijk.
In dit overzicht van de Consumentenbond zijn meer dan veertig cameramerken te vinden die met de CamHi-app werken. "Wereldwijd gaat het inmiddels om 3,5 miljoen camera’s. Met de komst van Amazon naar Nederland staat de deur nu wagenwijd open", stelt Reijneveld. De Consumentenbond heeft Amazon gevraagd om de onveilige camera's uit de verkoop te halen. Ook de Britse consumentenorganisatie Which? heeft Amazon erop aangesproken.
De problemen met de iLnkP2P-apparaten zijn niet nieuw. Vorig jaar april sloeg beveiligingsonderzoeker Paul Marrapese hier al alarm over. Destijds had hij twee miljoen kwetsbare IoT-apparaten gevonden. Marrapese adviseerde eigenaren om de apparaten weg te gooien.
Alles bij de bron; Security
Het smarthome van vandaag de dag is voorzien van sensoren, camera’s, slimme apparaten en (draadloze) netwerken. Daarover gaat veel informatie die behoorlijk privacygevoelig kan zijn. En wie registreert dan eigenlijk wat, kijkt ongewenst mee of tapt stiekem af? Bij nader inzien blijkt jouw slimme huis of gebouw regelmatig zo lek als een mandje te zijn....
...Voorkomen is beter dan genezen en valt bij privacy en domotica vaak eenvoudig te doen. Bekijk de instelling van de gebruikte smart devices. Wat registreren ze, met wie wordt dat gedeeld en kan je de instellingen persoonlijk aanpassen? Hoe betrouwbaar is de leverancier en wat zeggen reviews over de veiligheid van het smart device? Geef liever wat meer uit aan kwaliteitsapparatuur dan straks opgescheept te zitten met leaking devices. Scherm WiFi echt goed af en geef gasten alleen toegangsaccounts met passende beperkingen.
Houd de privacy van het slimme huis, kantoor of auto altijd in het achterhoofd. Kritische aankoop, het aanbrengen van afdoende toegangsbescherming en aanvullende maatregelen kunnen het schenden en misbruik van jouw privacygevoelige data voorkomen.
Meer over privacy in je smarthome en hoe je jezelf en je smarthome beter kunt beschermen en beveiligen lees je in onze smarthome gids.
Alles bij de bron; SmarthomeMagazine [long read]
Door een ernstig beveiligingslek in software van Philips Hue-lampen konden hackers de lampen overnemen en verkeer op het verbonden wifinetwerk afluisteren. Via dit lek zou er volgens de onderzoekers mogelijk ransomware en spyware verspreid kunnen worden naar andere apparaten binnen het netwerk.
De onderzoekers hebben het lek in november 2019 gemeld bij Philips. Het bedrijf heeft nu een update uitgebracht om het lek te dichten.
Iedereen die een Philips Hue-lamp in huis heeft, wordt aangeraden om de software van de lampen te updaten. Via de app kun je controleren of je de laatste versie hebt. De update voor het beveiligingslek zit in firmwareversie 1935144040.
Alles bij de bron; NU
Digitale videorecorders, netwerkvideorecorders en ip-camera's met een chip van Hisilicon bevatten een backdoor waardoor de apparaten op afstand kunnen worden overgenomen, zo claimt onderzoeker Vladislav Yarmak.
Wanneer de apparaten via internet toegankelijk zijn is het mogelijk om via tcp-poort 9530 een commando te versturen dat ervoor zorgt dat Telnet wordt ingeschakeld. Vervolgens is het mogelijk om via een aantal standaardwachtwoorden als root op de camera of recorder in te loggen en zo volledige controle te krijgen, aldus Yarmak. De vereiste wachtwoorden zijn uit de firmware van de apparaten te verkrijgen of via een bruteforce-aanval te achterhalen.
Tientalen merken en honderden modellen ip-camera's en recorders maken gebruik van de Hisilicon-chips, merkt de onderzoeker op. Eigenaren van een ip-camera of recorder met een Hisilicon-chip, dat op deze manier is te achterhalen, wordt geadviseerd een ander product te gebruiken. Wanneer dit niet mogelijk is moet de toegang tot alleen vertrouwde gebruikers worden beperkt.
Alles bij de bron; Security