IoT - Internet of Things

Toezichthouder FTC heeft een waarschuwing afgegeven voor de privacyrisico's die samenhangen met het gebruik van huurauto's die met internet zijn verbonden en over allerlei digitale systemen beschikken. Deze systemen kunnen de privédata van huurders namelijk lange tijd bewaren.

In de waarschuwing wijst de FTC op infotainmentsystemen die persoonlijke gegevens kunnen opslaan of ingevoerde locatiegegevens bewaren. Als de huurder via zijn smartphone verbinding met de auto maakt, kan het systeem ook het telefoonnummer, gesprek- en berichtenlogs opslaan, of zelfs contacten en sms-berichten. "Tenzij je deze data voor het terugbrengen van de auto verwijdert, kunnen andere mensen het mogelijk bekijken, waaronder toekomstige huurders, medewerkers van het verhuurbedrijf en hackers", zo laat de waarschuwing weten.

Alles bij de bron; Security


Een lek in slimme stopcontacten zorgt ervoor dat kwaadwillenden toegang kunnen krijgen tot de wifi van gebruikers. Slimme stopcontacten worden door gebruikers tussen een normaal stopcontact en een apparaat gezet, en met een app bestuurd en ingesteld. Zo kunnen gebruikers het ingeplugde apparaat via internet inschakelen, of via een schema. Door een lek in de software van de stopcontacten is het mogelijk om via internet malware op de apparaatjes te installeren. De stopcontacten hebben standaard namelijk een zwak wachtwoord, en versturen wifi-logingegevens onversleuteld. Weet een kwaadwillende toegang te krijgen tot een stopcontact is toegang tot e-mailaccounts mogelijk, zolang gebruikers geen tweestaps-verificatie hebben ingesteld.

Een ingewikkeldere hack maakt het zelfs mogelijk om aanvallen op andere apparaten binnen hetzelfde netwerk uit te voeren. Zo zou een hacker via een slim stopcontact zelfs ongemerkt de controle over alla apparaten binnen hetzelfde wifi-netwerk kunnen overnemen. Dan ontstaat een zogenoemd botnet; een netwerk van computers waarmee bijvoorbeeld DDoS-aanvallen uitgevoerd kunnen worden. Bitdefender zegt dat de bijbehorende app, beschikbaar voor zowel Android als iOS, op Android alleen meer dan 10.000 keer is gedownload.

Alles bij de bron; NU


De hele wereld kan binnengluren in meer dan honderd Belgische woonkamers, cafés en kantoren. Op de Russische site Insecam.org staan duizenden privébeelden van over de hele wereld online. Ook meer dan 100 Belgische camera's.

Zo zagen we gisteren een dame nietsvermoedend op haar computer werken in de woonkamer, konden we enkele stamgasten in een Gents café volgen en zelfs zien hoe verpleegsters oudjes hielpen in een Brussels rusthuis. De website vormt een potentiële goudmijn voor inbrekers, dieven en tigerkidnappers. Zij zien wanneer bewoners thuiskomen, met welke dure wagens ze rijden, of er een waakhond is en wanneer de winkelier zijn kassa leegmaakt.

Alles bij de bron; HLN


Navigatie, een spiksplinternieuw audiosysteem, toegang tot apps, of spraakherkenning: het zijn extraatjes van het infotainment- en navigatiesysteem die de ervaring van het autorijden moet veraangenamen. De honderden sensoren die dat allemaal mogelijk maken vangen echter ook een grote hoeveelheid aan data. Ze meten bijvoorbeeld waar je heen gaat en welke muziek je onderweg luistert. Autofabrikanten hebben toegang tot die gegevens. 

Hackers hebben al eerder aangegeven dat zij via het infotainmentsysteem, dat verbonden is met het internet, toegang kunnen krijgen tot een auto. De indringers konden via een zwak punt in de autoradio controle uitoefenen op het stuur en de remmen van het voertuig. Buitenstaanders hebben dus niet alleen toegang tot data vanuit de auto, maar ook tot de auto zelf.  

Er zijn automobilisten die proberen te voorkomen dat hun gegevens opgeslagen worden, maar dat blijkt nog een flinke opgave. Bill Scannell, een veiligheidsadviseur voor start-ups, vertelde onlangs aan BBC hoe hij verschillende keren geprobeerd heeft het infotainmentsysteem uit te schakelen. Scannell kwam er al snel achter dat er geen simpele aan/uit-knop is. Wel kwam hij erachter dat alles zonder aangesloten antenne ook gewoon werkt. 

Toch bestaat er wel een manier om anoniem de weg over te kunnen. Het blijkt dat autobedrijven de auto in een soort vliegtuigmodus kunnen zetten, waardoor de auto geen verbinding meer heeft met het netwerk. Dat zou hetzelfde effect hebben als het verwijderen van het infotainmentsysteem. Aangezien alleen de dealer dit kan doen, lijkt een ritje die kant op de enige oplossing.

Alles bij de bron; Trouw


Met internet verbonden auto's bevatten allerlei kwetsbaarheden die vooral via datanetwerken, zoals mobiele netwerken of wifi-netwerken, kunnen worden aangevallen. Daarvoor waarschuwen onderzoekers van het Amerikaanse beveiligingsbedrijf IOActive in een nieuw rapport (pdf). De onderzoekers waren de afgelopen drie jaar 16.000 uur bezig met het analyseren van de veiligheid van autosystemen. 

Hoeveel beveiligingslekken er zijn geanalyseerd wordt niet in het rapport duidelijk gemaakt. Wel valt 50% in de categorie "hoog" of "ernstig". Dit houdt in dat de kwetsbaarheden het mogelijk maken om onderdelen, communicatie of gegevens te compromitteren waardoor een bestuurder de controle over het systeem deels of volledig kan verliezen. Wordt er gekeken naar de mogelijkheden om een autosysteem aan te vallen dan zijn vooral netwerken een probleem. 39% van de gevonden kwetsbaarheden is namelijk via het autonetwerk aan te vallen. Het gaat dan bijvoorbeeld om ethernet- en webverkeer.

Ook aanvallen via mobiele netwerken (16%) vormen een risico. Zeventien procent kan alleen door een lokale aanvaller worden uitgebuit. "Op het eerste gezicht lijkt dit een onwaarschijnlijke aanvalsvector, maar gezien de beschikbaarheid van app stores en softwaremodules van derde partijen is deze aanvalsvector net zo belangrijk als netwerkgebaseerde aanvallen", aldus de onderzoekers. Een andere aanvalsvector die opvalt is usb (13%) zodra een besmette usb-stick in de auto wordt aangesloten kan de aanval worden uitgevoerd.

Als er naar het soort kwetsbaarheden wordt gekeken gaat het vooral om problemen die ook bij andere embedded-systemen voorkomen. Het gaat dan om programmeerfouten waardoor buffer overflows ontstaan, de aanwezigheid van vaste wachtwoorden en het gebruik van verouderde, onveilige softwarebibliotheken. Ook ontdekten de onderzoekers backdoors. Het gaat bijvoorbeeld om test-interfaces van ontwikkelaars die in de productiesystemen in de auto's achterblijven. Door te investeren in zaken als veilig programmeren, patchmanagement, het controleren en testen van code en andere best practices kunnen autofabrikanten alle gevonden problemen verhelpen. "De meeste beveiligingslekken in voertuigen zijn niet via "extra toevoegingen" te verhelpen, maar door het toepassen van goede ontwikkelmethodes, programmeerprincipes en andere best practices voor cybersecurity.

Alles bij de bron; Security


Nu allerlei apparaten opeens verbonden zijn met het internet, verbaast het je misschien niet dat je zelfs met je seksspeeltjes tegenwoordig online kan. Maar de verbinding met het internet maakt deze apparaten ook kwetsbaar voor een hack.

De juridische en ethische risico’s die komen kijken bij een internet van dildo’s was het onderwerp van een presentatie van twee hackers op DEF CON afgelopen vrijdag. Zo bleek dat ze eigenlijk meer bezorgd waren over eventueel misbruik door de producent zelf, dan voor andere dildohackers. Samen met zijn collega goldfisk herleidde hij de datastroom van de We-Vibe 4 Plus, een van de meest populaire internetdildo’s op de markt. Wat het stel vond was verassend: de producent was niet alleen elke minuut ieders temperatuur aan het verzenden, maar ook de intensiteitsinstellingen.

Het lijkt alsof de temperatuurdata alleen te maken heeft met de warmtemetingen van de motor. Maar contact met het lichaam kan ook de temperatuur veranderen. Je kunt zo dus zien of een apparaat in gebruik is of niet, zelfs als het niet verbonden is met het internet.”

Het versturen van deze data brengt verschillende risico’s met zich mee voor de klant en de bedrijven die deze data beheren geven niks vrij over wat ze ermee doen. Hoewel het mogelijk is om de We-Vibe gewoon in een “domme” dildo te veranderen, is dit voor goldfisk en follower niet genoeg. Tijdens hun presentatie kondigden ze de lancering aan van hun Private Play Akkoord. Hiermee willen ze een oproep doen voor meer transparantie bij producenten van intieme apparaten, van dildo’s tot pacemakers. Goldfisk en follower hebben al contact opgenomen met acht producenten om het akkoord te bespreken, vertellen ze mij na de presentatie, maar ze hebben tot zover nog geen reacties ontvangen.

Alles bij de bron; Motherboard [thnx-2-Luc]


Twee hackers presenteren een virus waarmee slimme thermostaten kunnen worden gegijzeld. Als je niet betaalt wordt de temperatuur zo hoog mogelijk gedraaid. Gelukkig hebben Andrew Tierney and Ken Munro niet de intentie om de ransomware te verspreiden, maar presenteerden ze hun aanval tijdens de hackersconferentie Def Con in Las Vegas

De slimme thermostaat in kwestie heeft een ingang voor sd-kaartjes, waarmee de hackers de ransomware automatisch konden laten installeren. Met een sd-kaartje worden onder andere firmware-updates geïnstalleerd en kan de eigenaar zelf een achtergrond instellen. Door het slachtoffer een malafide updatebestand of wallpaper te laten downloaden, kan de ransomware de thermostaat al overnemen zodra het sd-kaartje in het apparaat werd gestopt.

Het is één van de grootste gevaren van het 'internet of things': apparaten in het huis die met het internet zijn verbonden, van slimme sloten en beveiligingscamera's tot slimme koelkasten en wasmachines: elk apparaat kan door hackers worden overgenomen. Daarnaast kunnen hackers via zo'n slim apparaat toegang krijgen tot andere apparaten in het netwerk, zoals je smartphone of laptop. "Je koopt niet alleen slimme apparaten", zegt Tierney. "Je nodigt ook gelijk mensen uit op je netwerk en je hebt geen idee wat al deze dingen precies doen."

Alles bij de bron; RTLZ


In de Verenigde Staten zijn twee mannen opgepakt die worden verdacht van het stelen van meer dan 100 voertuigen, wat ze onder andere via een laptop zouden hebben gedaan.

...Op twee video's is te zien hoe de man met een laptop in zijn handen toegang tot een auto weet te krijgen en wegrijdt. Bij een huiszoeking werden elektronische apparaten, sleutels en andere tools aangetroffen waarvan wordt aangenomen dat ze bij de autodiefstallen zijn gebruikt. Volgens de politie zouden de verdachten Jeep Wranglers, Cherokees en Dodge pick-uptrucks hebben gestolen.

Tegenover de Detroit Free Press laat de politie weten dat de gestolen auto's over software beschikten die door autotechnici en dealers worden gebruikt. Fiat Chrysler, dat Jeeps en Dodges maakt, en de politie onderzoeken nu hoe de dieven toegang hebben gekregen tot een database met de codes die dealers en reparatiebedrijven gebruiken om verloren sleutels te vervangen. De criminelen zouden toegang tot deze database hebben gebruikt om in de gestolen auto's een nieuwe sleutel te programmeren en zo weg te rijden.

Alles bij de bron; Security


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha