Smart homes of slimme huizen vertegenwoordigen een jonge maar volwassen categorie elektronische goederen. Waterkokers met een webinterface, strijkijzers die op afstand uitschakelen, slimme verlichtingssystemen: het is allemaal uitgevonden om ons leven gemakkelijker te maken. Maar zijn deze producten eigenlijk wel veilig? Naast gemak brengen Internet of Things (IoT)-apparaten nieuwe beveiligings- en privacyrisico's met zich mee, en er gaat zelden een week voorbij zonder een melding van een nieuwe kwetsbaarheid in een of andere slimme gadget. Zelfs een "slimme lamp" kan worden gebruikt om in te breken in een thuisnetwerk, laat staan wat er kan worden gedaan met ernstigere apparaten.

Videocamera online

Een belangrijk element van elk huisbeveiligingssysteem is een op internet aangesloten videocamera. En deze zijn er in alle soorten en maten: van nanny-cams en videodeurbellen tot geavanceerde gemotoriseerde camera's voor professionele videobewaking.

IP-camera's zijn, zoals de naam al aangeeft, permanent online of maken periodiek verbinding, en de beelden zijn meestal beschikbaar via de eigen gespecialiseerde dienst van de verkoper. Door in te loggen op deze dienst krijgt u toegang tot de videostream van de camera, waar u ook bent. Dit is natuurlijk erg handig, en het alternatief - zoals een camera die alleen toegankelijk is via een lokaal netwerk - zal potentiële klanten waarschijnlijk veel minder aanspreken.

Maar dit roept veel vragen op, waarvan niet de minste is: wat als cybercriminelen uw inloggegevens stelen? Hoe veilig zijn videobewakingssystemen in de cloud? Kunnen aanvallers toegang krijgen tot de videostream zonder uw account te hacken? In het ergste geval valt zeer gevoelige informatie, waaronder beelden en video's van uw huis, in de verkeerde handen.

Eufy IP-camera's

Al deze angsten waren bekend bij Anker toen ze hun eigen lijn IP-camera's lanceerden onder het merk Eufy. Anker, opgericht in 2011, is geen nieuwkomer in de elektronica-industrie. Ze begonnen met het maken van opladers en accessoires voor smartphones en laptops, en dat is geleidelijk uitgegroeid tot een volledige lijn van draagbare elektronische apparaten voor elke smaak en behoefte, inclusief die videodeurbellen en beveiligingscamera's.

Screenshot van de website van Eufy, die volledige bescherming van de gegevens van eigenaars belooft.

Maximale privacy en geen clouds

In een advertentie op de website van Eufy garanderen de ontwikkelaars van de camera maximale privacy en dat er geen clouds worden gebruikt: alle gegevens worden bewaard in veilige, lokale opslag. De functie voor videobewaking op afstand kan volledig worden uitgeschakeld, maar als u toch wilt zien wat er in uw huis gebeurt, versleutelt de camera de videostream en stuurt deze naar een app op uw smartphone - de enige plek waar deze wordt ontsleuteld. Dit staat bekend als end-to-end-encryptie, wat betekent dat niemand - zelfs niet de verkoper - toegang heeft tot de gegevens.

Belangrijk is dat het herkenningssysteem ook direct op het apparaat zelf werkt. De ingebouwde AI in elke camera analyseert de beelden zonder iets door te sturen naar de servers van het bedrijf, identificeert mensen in beeld en onderscheidt bijvoorbeeld zelfs huiseigenaren en huurders van vreemden, zodat de eigenaar van de camera alleen wordt gewaarschuwd als er een onbekend gezicht in beeld komt.

Een garantie voor volledige privacy. Onlangs werden gebruikers echter getrakteerd op een kleine verrassing: Eufy-camera's werken achter de schermen toch iets anders. Op 23 november tweette de Britse beveiligingsexpert Paul Moore een video waarin hij Eufy ervan beschuldigde gegevens naar de cloud te sturen, zelfs als de optie is uitgeschakeld.

Video Paul Moore

De video van Moore geeft een gedetailleerde demonstratie van het probleem dat hij vrij gemakkelijk ontdekte. Nadat hij een Eufy-videodeurbel had geïnstalleerd, logde hij in op de webinterface van het apparaat, waar hij de broncode in de browser analyseerde en liet zien dat de camera telkens wanneer iemand in beeld verschijnt, een foto naar de server van de verkoper stuurt. Dit betekent dat in ieder geval een van Eufy’s garanties ("geen clouds") niet waar is. Moore tweette vervolgens nog een aantal keer over veel ernstiger problemen met gegevensbescherming. Blijkbaar gebruikt de "betrouwbare" encryptie van Eufy een vaste sleutel die identiek is voor alle gebruikers. Erger nog: deze sleutel verscheen daadwerkelijk in Eufy-code die door het bedrijf zelf op GitHub geplaatst. Later bevestigde de techwebsite The Verge, met verwijzingen naar Moore en een andere beveiligingsexpert, het worst-case scenario: iedereen die online is kan, zo lijkt het, de videostream bekijken door simpelweg verbinding te maken met een uniek adres van het apparaat.

Logische verklaring

Het moet gezegd worden dat er een volkomen logische verklaring is voor het eerste probleem van het uploaden van beelden naar de cloud. In theorie werken Eufy-camera's als volgt: je installeert de camera in je huis en configureert de app op je smartphone. Wanneer iemand op de Smart Сall-knop drukt of het herkenningssysteem iemand in beeld ziet, krijg je een melding op je smartphone met een foto erbij. De enige manier om dergelijke meldingen te versturen is waarschijnlijk via de cloud. Maar waarom heeft Eufy dan beloftes gedaan over "geen clouds"? Dat is een goede vraag.

Angst dat de kwetsbaarheid massaal zou worden uitgebuit

Hoe zit het met de videostream die op afstand toegankelijk is? The Verge en zijn bronnen hebben niet alle aspecten van het probleem bekendgemaakt, uit angst dat de kwetsbaarheid massaal zou kunnen worden uitgebuit. Maar enkele feiten zijn bekend: Ten eerste wordt de beloofde encryptie niet gebruikt om de stream te verzenden. In feite is de stream helemaal niet versleuteld en kan hij worden bekeken met een gewone mediaspeler, zoals VLC. Ten tweede, om toegang te krijgen tot een bepaalde camera, moet u zijn unieke URL kennen. Met andere woorden, zijn adres op het internet. Maar deze adressen worden op een zeer voorspelbare manier gegenereerd: op basis van het serienummer van het toestel dat direct op de doos staat afgedrukt, plus de huidige datum en tijd. Daarbij komt (voor extra "veiligheid") een willekeurig viercijferig nummer, dat gemakkelijk te kraken is. Het enige dat de eigenaar van de camera beschermt tegen een aanvaller die het serienummer van het apparaat kent, is dat de camera niet voortdurend gegevens online uploadt. Hij moet eerst geactiveerd worden, bijvoorbeeld door op de deurbelknop te drukken, waarna het voor een buitenstaander mogelijk wordt om verbinding te maken.

Verklaring Eufy

Anker, de maker van Eufy, werd gevraagd de beschuldigingen te bevestigen of te ontkennen, wat de kwestie alleen maar verder vertroebelt. Zoals opgemerkt door The Verge en Ars Technica, ontkenden de ontwikkelaars botweg het bestaan van beveiligingsproblemen, en toen gevraagd werd naar specifieke problemen gaven ze minstens twee verklaringen af die later weerlegd werden.

In de eerste verklaring "bevestigde" het bedrijf dat het niet mogelijk was om live beelden van een camera te bekijken, maar dat is precies wat The Verge deed met behulp van twee van zijn eigen Eufy-camera's. In de tweede verklaring gaf de leverancier toe dat beelden van de deurbel naar de servers van het bedrijf worden gestuurd, maar alleen om ervoor te zorgen dat diezelfde meldingen de smartphone bereiken, waarna de beelden worden verwijderd. Maar zelfs dit werd door Moore ontkracht door een eenvoudige test: nadat hij beelden van de camera in zijn persoonlijke account had bekeken, sloeg hij de URL's van de beelden op en verwijderde ze vervolgens van zijn telefoon. Hoewel de beelden verdwenen waren uit zijn persoonlijke account, kon Moore ze nog steeds openen door simpelweg de opgeslagen URL's in te voeren in de adresbalk van de browser. De andere hierboven genoemde onderzoeker ging nog verder: na een volledige reset van de videocamera, waardoor alle opgeslagen video's van zijn account werden verwijderd, verbond hij het toestel opnieuw met zijn account en zag ... de zogenaamd verwijderde video's!

Ethische normen beveiligingsindustrie

In het algemeen zijn er binnen de beveiligingsindustrie bepaalde ethische normen ontwikkeld, onder meer over hoe informatie over kwetsbaarheden bekend moet worden gemaakt en hoe verkopers moeten reageren. Maar in het geval van Eufy werd dit volledig genegeerd: in plaats van het bedrijf de kans te geven de problemen te verhelpen, maakten de onderzoekers de kwetsbaarheden onmiddellijk openbaar. En om olie op het vuur te gooien, ontkende het bedrijf de duidelijke problemen. Eufy leverde geen technisch bewijs om de beweringen van de onafhankelijke deskundigen te weerleggen, terwijl de enige verandering die Moore na zijn belastende berichten opmerkte, was dat links naar camerabeelden, die voorheen in duidelijke tekst in de HTML werden getoond, nu verborgen waren. Dat wil zeggen, de informatie wordt nog steeds naar de Eufy server gestuurd, alleen moeilijker te traceren.

Dus brak de verkoper een andere belofte op zijn website, blijkbaar in de hoop dat niemand het zou controleren. Maar deze praktijk van Eufy schendt niet alleen de beloften van het bedrijf, maar ook regionale wetten inzake de bescherming van gebruikersgegevens, zoals de GDPR van de EU.

Er zijn ernstiger voorbeelden

De zaak Eufy is nog jong, en er is aanvullend onderzoek nodig om onomstotelijk aan te tonen dat een buitenstaander beelden van de IP-camera van een bepaalde gebruiker of een willekeurige gebruiker zou kunnen onderscheppen. Er zijn echter voorbeelden van nog ernstiger beveiligingsproblemen. Zo bleken IP-camera's van de Chinese fabrikant Hikvision in 2021 een kritieke kwetsbaarheid te bevatten die een aanvaller volledige controle over het apparaat gaf. Er werd een patch uitgebracht om het probleem te verhelpen, maar zelfs een jaar later waren tienduizenden videocamera's wereldwijd nog steeds kwetsbaar en toegankelijk voor elke nieuwsgierige derde partij. Helaas zijn eigenaars van dergelijke apparaten zich misschien niet eens bewust van de kwetsbaarheid, wat natuurlijk het slechtst mogelijke scenario is.

IoT-industrie nauwelijks gestandaardiseerd

Dus staan we opnieuw voor die eeuwige vragen: wie heeft de schuld en wat moeten we doen? Helaas is de IoT-industrie nauwelijks gestandaardiseerd. Er zijn geen universeel aanvaarde normen die ten minste een minimale beveiliging bieden, en leveranciers beschermen hun apparaten op basis van de beschikbare middelen en hun eigen opvattingen over beveiliging. Het is aan de gebruiker om te beslissen welke leverancier hij vertrouwt.

Zoals Ars Technica terecht opmerkt: als je apparaat een lens en Wi-Fi heeft, zal iemand er vroeg of laat een beveiligingslek in vinden. Interessant genoeg zijn apparaten met een vergelijkbaar ontwerp, zoals webcams in laptops en smartphones, veel beter beschermd: er gaat een lampje branden als de camera in gebruik is, en beveiligingsoplossingen bewaken apps en blokkeren ongeautoriseerde toegang ertoe.

IP bewakingscamera's daarentegen werken autonoom, en soms gewoon 24/7. Zolang er geen universeel geaccepteerd systeem is om de veiligheid van apparaten te beoordelen, kunt u helaas niet vertrouwen op de "garanties" van verkopers, maar zult u zelf bepaalde maatregelen moeten nemen om uw privacy te beschermen. Wij raden eigenaren van videobewakingssystemen aan alert te zijn op nieuws over beveiligingsproblemen met hun apparaten, de camera-instellingen zorgvuldig te onderzoeken, ongebruikte cloudfuncties uit te schakelen en regelmatig updates te installeren. En als u besluit een videobewakingssysteem in uw huis te installeren, zorg er dan voor dat u alle risico's afweegt - want de potentiële schade van een hack is duidelijk enorm.

Ga er dus van uit dat IoT-apparaten altijd gehackt kunnen worden en vraag jezelf af hoe ernstig is dit in mijn geval? Is het nodig om een beveiligingscamera in je slaapkamer te plaatsen of is een camera gericht op de achter- en voortuin ook voldoende?

Bron: arstechnica.com, github.com/FuzzyMistborn, twitter.com/Paul_Reviews, eufy.com, theverge.com, kaspersky.nl

Meer info over IoT of alle begrippen en vormen van A tot Z

Meer IoT nieuws