Blaupunkt robotstofzuiger lekt inloggegevens

Update 12 september 2018:

Blaupunkt heeft inmiddels een app-update uitgebracht die het lek zou moeten dichten.

Onderzoeksresultaten

De kwetsbaarheid in de versleutelde communicatie tussen de stofzuiger en de fabrikant, kwam aan het licht bij een experiment. Een medewerkster van de Consumentenbond gebruikte een maand lang 9 slimme apparaten in haar huis, van voornamelijk A-merken: 2 Google Homes, 2 beveiligingscamera’s, een robotstofzuiger, een printer, een koffiezetapparaat, een tandenborstel en lampen. Hierbij werd gekeken naar het gebruiksgemak en de veiligheid van de apparaten én de bijbehorende apps.

Uit de test bleek dat fabrikanten regelmatig slordig zijn met de beveiliging: ethisch hackers van het beveiligingsbedrijf Nixu constateerden dat 5 van de 9 apps geen of gebrekkige certificaatvalidatie gebruiken. Het dataverkeer is dan wel versleuteld, maar fabrikanten controleren niet of de encryptiesleutel wel bij de verzender hoort. Kwaadwillenden kunnen zich dan met een vals certificaat tussen het verkeer nestelen en gebruikersgegevens (inclusief wachtwoorden) onderscheppen.

Continue datastromen

De smartapparaten bleken ook dag en nacht data te versturen, de babycamera iBaby doet dat zelfs elke seconde. In totaal stuurden de apparaten de gegevens naar 339 servers, verspreid over 9 landen. Als dit op een onveilige manier gebeurt, levert dit risico’s op.

Veilig, eerlijk en gemakkelijk

De Consumentenbond vindt dat slimme producten en diensten veilig, eerlijk en gemakkelijk in gebruik moeten zijn én blijven. Fabrikanten kunnen hier onder meer voor zorgen door updates te leveren. Om hier op aan te dringen, voert de Consumentenbond sinds 2015 de actie ‘Updaten!’.

Het volledige experiment met het slimme huis (pdf, alleen voor leden) staat beschreven in het 100ste nummer van de Digitaalgids (september 2018).