Onveilige cadeaus: zwakke wachtwoordinstellingen maken IoT-apparaten kwetsbaar voor aanvallen

Stel dat u uw kinderen wilt verrassen en besluit een fantastisch, slim, app-bediend draadloos spionagevoertuig voor ze te kopen - in wezen een spionagecamera op wielen, verbonden via wifi en beheerd via een mobiele applicatie. Echt een geweldig cadeau dat niet alleen kan rijden, maar ook foto's maken, video's opnemen en zelfs op afstand audio afspelen via een ingebouwde luidspreker. En niet te vergeten... het is Cyber Monday, dus u kunt het voor een spotprijs krijgen! Helemaal perfect om u in feeststemming te brengen, maar enkele dagen na de aankoop van het voertuig begint u plotseling te merken dat er iets mis is en dat het voertuig onbestuurbaar wordt. Het apparaat lijkt andermans opdrachten op te volgen, video's op te nemen wanneer u dat niet wilt en onverwacht snel zijn acculading te verliezen. Wat is er gebeurd? Hoogstwaarschijnlijk heeft u een kwetsbaar en onveilig cadeau gekocht.

Met internet verbonden slimme apparaten worden in het algemeen beschouwd als een heel handige manier om ons leven te vereenvoudigen. Maar in welke mate zijn ze veilig te gebruiken vanuit het oogpunt van cybersecurity? In 2015 besloten onderzoekers van Kaspersky Lab de ernst van de dreiging achter het Internet of Things (IoT, oftewel het internet der dingen) te onderzoeken. De resultaten waren zorgwekkend, dus 2 jaar later deden ze nog meer onderzoek naar dit onderwerp. Van 8 willekeurig geselecteerde IoT-apparaten – variërend van een slim strijkijzer tot een slim spionagevoertuig - was de helft te hacken als gevolg van zwakke wachtwoordinstellingen. Bovendien bleek slechts één apparaat veilig te zijn en te voldoen aan de eisen van de onderzoekers.

IoT-apparaten zijn in principe apparaten met een netwerkverbinding, uitgerust met geïntegreerde technologie waarmee ze met elkaar of met de externe omgeving kunnen communiceren. Vanwege het grote aantal en de verscheidenheid van de beschikbare apparaten, is het IoT uitgegroeid tot een aantrekkelijk doelwit voor cybercriminelen. Hiertoe behoorden onder andere de recordbrekende DDoS-aanvallen van 2016 die werden gestart met behulp van een enorm botnet dat bestond uit routers, IP-camera's, printers en andere apparaten. Door met succes IoT-apparaten te hacken, kunnen criminelen mensen chanteren of bespioneren. Andere vectoren kunnen zelfs nog gevaarlijker zijn. Uw thuisnetwerkapparaten kunnen bijvoorbeeld worden gebruikt om illegale activiteiten te ontplooien, of een cybercrimineel die toegang heeft verkregen tot een IoT-apparaat kan de eigenaar ervan bespioneren, chanteren en afpersen voor geld. Het geïnfecteerde apparaat kan ook eenvoudig defect raken, hoewel dat natuurlijk nog het minste probleem is.

Met dit in het achterhoofd probeerden onderzoekers van Kaspersky Lab te ontdekken of de rapportages over slimme 'IoT' producten en de incidenten die zich hebben voorgedaan de veiligheidssituatie hebben veranderd. Om hierachter te komen analyseerden ze nogmaals verschillende willekeurig geselecteerde slimme apparaten, namelijk een slimme oplader, een app-gestuurde speelgoedauto, een slimme weegschaal, een slimme stofzuiger, een slim strijkijzer, een IP-camera, een smartwatch en een smart home hub. De bevindingen waren zorgwekkend: van de 8 onderzochte apparaten voldeed slechts 1 aan de beveiligingseisen van de onderzoekers. Sterker nog, de helft van de apparaten kon worden aangetast en simpelweg misbruikt als gevolg van een gebrek aan waakzaamheid van de leverancier wat betreft de wachtwoordinstellingen. Denk hierbij aan het gebruik van een standaard wachtwoord en het ontbreken van een mogelijkheid om het wachtwoord te wijzigen, terwijl het wachtwoord in sommige gevallen zelfs voor alle apparaten in het productassortiment hetzelfde was.

“Bij Kaspersky Lab volgen we de problematiek rond de cyberbeveiliging van slimme apparaten al jaren op de voet. We zien nu dat verschillende meldingen over 'IoT'-producten en toenemende waakzaamheid bij leveranciers hebben geholpen om het aantal onveilige slimme apparaten te doen afnemen. Het probleem is echter nog niet weg en slimme apparaten kunnen nog steeds schade toebrengen aan hun eigenaren. Dit geeft aan dat er nog veel gezamenlijk werk te doen is voor cybersecuritybedrijven en leveranciers van  met internet verbonden apparaten", merkt Martijn van Lom General Manager Kaspersky Lab Benelux, op.

Kaspersky Lab-onderzoekers adviseren gebruikers de volgende maatregelen te treffen om zich te beschermen tegen het kopen van kwetsbare slimme apparaten:

1. 1. Zoek alvorens een IoT-apparaat te kopen op internet naar nieuws over eventuele beveiligingslekken. Internet der dingen is momenteel een zeer actueel onderwerp, en veel onderzoekers zijn goed bezig door beveiligingsproblemen op te sporen in dergelijke producten: van babyfoons tot app-bestuurde geweren. De kans is groot dat het apparaat dat u gaat kopen al door beveiligingsonderzoekers is onderzocht. Vaak is het mogelijk om erachter te komen of er inmiddels een patch is uitgebracht voor de in het apparaat ontdekte problemen.
   2. Het is niet altijd een goed idee om de meest recente producten te kopen die op de markt zijn gebracht. Naast de standaard bugs die in nieuwe producten worden aangetroffen, is de kans bij recent geïntroduceerde apparaten groter dat ze veiligheidsproblemen hebben die nog niet zijn ontdekt door beveiligingsonderzoekers. De beste keuze is om producten te kopen die al verschillende software-updates achter de rug hebben.
   3. Als u overweegt welk deel van uw leven u een beetje slimmer wilt maken, houd dan rekening met de veiligheidsrisico's. Als u veel items van materiële waarde in huis hebt, is het waarschijnlijk een goed idee om een professioneel alarmsysteem te installeren als vervanging van of aanvulling op uw bestaande, app-bediende woningalarmsysteem; of configureer het bestaande systeem zodanig dat potentiële zwakke plekken de werking ervan niet zullen beïnvloeden.

Om alle dreigingen de baas te worden, heeft Kaspersky Lab een bètaversie uitgebracht van zijn oplossing voor de "slimme woning" en het internet der dingen - de Kaspersky IoT Scanner. Deze gratis applicatie voor het Android-platform scant het wifi-thuisnetwerk en informeert de gebruiker over de hiermee verbonden apparaten en hun veiligheidsniveau.