IoT de doodsteek voor privacy?

Afluisteren is door het Internet of Things kinderspel geworden. Niks microfoons verstoppen in plantenbakken of achter spiegels, maar gewoon ‘connected’ apparaten hacken en omtoveren tot digitale luistervinken. Hoe voorkomen we dat we met de slimme apparaten die we in huis halen onze privacy voorgoed te grabbel gooien?

Tijdens de securityconferentie NCSC One in Den Haag liet een 11-jarige hacker de zaal verbouwereerd achter. Op het podium hackte ‘Cyberninja’ Reuben Paul live een teddybeer om het speelgoed vervolgens als afluisterapparaat te gebruiken. “It’s pretty dangerous,” zo merkte deze whizzkid nuchter op.

Met de live demo bevestigde Paul enkele maanden geleden nog maar eens wat we misschien allemaal al weten: het Internet of Things vormt een bedreiging voor onze privacy. Verschillende incidenten waarbij hackers konden meekijken of -luisteren met de gebruiker hebben dit al pijnlijk duidelijk gemaakt. Enkele voorbeelden:

1. Speelgoed luistert kinderen af

Over de gevaren van connected speelgoed is al veel gezegd en geschreven. Zo was er de speelgoedpop Cayla die volgens de Noorse Consumentenbond kinderen kon afluisteren. Onderonsjes met de pop werden bovendien voor nadere analyse doorgestuurd naar Nuance Communications.

Ook met de slimme teddybeer van CloudPets ging het mis. De fabrikant lekte maar liefst 2,2 miljoen spraakberichten die met de knuffel waren opgenomen. Tot overmaat van ramp bleek het ook nog eens kinderlijk eenvoudig om de beer via Bluetooth af te luisteren.

2. Hackers streamen kinderkamer

Dat het een koud kunstje is om beveiligingscamera’s te hacken, is al langer bekend. Vorig jaar waarschuwde een moeder uit het Amerikaanse Houston om beveiligingscamera’s niet in te zetten als babyfoon. Door een hack konden duizenden mensen gluren in de slaapkamer van haar twee dochters.

3. CIA bespioneert via slimme tv’s

Klokkenluiderssite WikiLeaks bracht in maart naar buiten dat de Amerikaanse geheime dienst CIA smart-tv’s van Samsung na infectie met een virus kan afluisteren. Het virus zorgt ervoor dat de tv in een ‘fake-off’-modus gaat. De gebruiker denkt het apparaat uit te hebben gezet, maar in werkelijkheid blijft het toestel actief.

4. Hackers gluren mee via de webcam

Recent nog werd bekend dat een Mac-virus al jarenlang honderden webcams in de gaten houdt. Dat kan voor Mac-gebruikers ernstige gevolgen hebben. Zo gebeurt het dat slachtoffers worden gefilmd in situaties die strikt privé moeten blijven. De criminelen dreigen vervolgens de compromitterende beelden te verspreiden als een betaling uitblijft. Beste tip om glurende hackers een voet dwars te zetten, is nog altijd het afplakken van de camera.

5. Mensenrechtenactivist afgeluisterd via iPhone

Vorig jaar zag Apple zich genoodzaakt om enkele kwetsbaarheden in iOS te dichten. Dit was na de ontdekking van spyware op de mobiele telefoon van de prominente mensenrechtenactivist Ahmed Mansoor uit de Verenigde Arabische Emiraten. Door misbruik te maken van de zwakheden in het mobiele besturingssysteem van Apple konden onder andere WhatsApp-berichtjes, e-mails en telefoongesprekken worden onderschept.

Tegenmaatregelen treffen

Het is duidelijk dat spionage via het Internet of Things een reële dreiging is. En dat geldt zeker ook voor ingebouwde camera’s en microfoons in smartphones en tablets. Daar kunnen we zelf enkele maatregelen tegen nemen, zoals het draaien van beveiligingssoftware die mobiele devices vrijhoudt van spyware en het trouw installeren van security-updates. Zo voorkomen we dat hackers de controle overnemen over camera en microfoon. Daarnaast kan het geen kwaad om de apparaten die we niet gebruiken simpelweg uit te schakelen.

Als het gaat om de beveiliging van bijvoorbeeld connected speelgoed of huishoudelijke apparaten zijn vooral de fabrikanten aan zet. D66 pleitte al voor een securitykeurmerk voor slimme apparaten. Op die manier kunnen we fabrikanten van IoT-devices dwingen meer aandacht te besteden aan security. Als consumenten moeten we ons niet enkel laten leiden door prijs. Kijk zelf ook kritisch wat de leverancier heeft gedaan om afluisterpraktijken te voorkomen. Een speelgoedpop met ingebouwde firewall is zo gek nog niet.

Deze blogpost is geschreven door Bastiaan Bakker, Cyber Security Expert, Motiv ICT Security.

[Afbeelding ©
escapejaja
– Adobe Stock]