Slimme speakers, lampen of een thermostaat: smart-producten die via het internet met je telefoon verbinden zijn in de lift. In Nederland zien we ook de toename van merkloze smarthomeproducten, maar zijn zij even veilig als bekende alternatieven?
Goedkope smarthome
Ruim 1,5 miljoen Nederlanders zijn vandaag in het bezit van een smart speaker zoals de Nest-speakers van Google of de Echo-speakers van Amazon. Dat blijkt uit het Smart Home monitor-onderzoek van het onderzoeksbureau Multiscope dan dit voorjaar in april verscheen. De verkoop van slimme speakers die al je commando’s beantwoorden, steeg de voorbije twee jaar bij ons met 52 procent, en dat cijfer blijft toenemen. In Nederland gaan naast luidsprekers ook thermostaten, videodeurbellen, wifi-camera’s en smart lampen vlot over de toonbank.
Een wat nieuwere trend die de laatste maanden opvalt, is dat winkelketens uitpakken met goedkopere alternatieven voor deze producten, en het gaat dan om apparaten die onder een wit merk verschijnen. Recent zagen we al merkloze smarthomeproducten van de Action, HEMA en Lidl die een fractie kosten van de prijs die je normaal betaalt.
Privacy te grabbel?
Wat al deze apparaten, van slimme lampen tot een deurbel met camera, met elkaar gemeen hebben is de onderliggende technologie van het Chinese bedrijf Tuya. Dit jonge bedrijf dat in 2014 werd opgericht, wierp zich in geen tijd op tot een internationale speler die een waaier van toegankelijke white label-producten aanbiedt aan onder meer de genoemde winkelketens. in totaal heeft het merk naar eigen zeggen meer dan 10.000 klanten
Op Nederlandse fora hoe consumenten met uiteenlopende meningen discussiëren over de producten van deze speler. Sommigen zijn vooral positief verrast door de lage prijs, terwijl anderen verkondigen dat je met deze producten al je persoonlijke gegevens te grabbel gooit op Chinese servers waar geen enkele controle over is.
Gerelateerde artikelen
Broodjeaapverhalen
Is dat zo? Als we kijken naar de informatie die Tuya deelt in zijn white paper over beveiliging dan zien we dat het wel degelijk een serverinfrastructuur in Europa hanteert, namelijk in de Duitse stad Frankfurt. De server zelf wordt beheerd door Amazon Web Services, een bekende speler. Daarnaast pakt het Chinese bedrijf uit met verschillende vormen van encryptie zoals AES 128-encryptie in twee lagen voor de beveiliging van bewaarde gegevens en TMS 1.2-encryptie voor de transmissie van data.
Tuya maakt ook sinds juni van dit jaar deel uit van raad van bestuur van de Zigbee Alliance, dat is een stichting die de bekende Zigbee-standaard voor Internet of Things (IoT)-apparaten ontwikkelt. Sinds 2017 kunnen de white label-producten van Tuya dan weer verbinden met het Google Home-ecosysteem. Alles lijkt op orde te zijn op het vlak van privacy en beveiliging. Zijn al die bezorgdheden omtrent voordelige smarthomeproducten en white label-producten niet meer dan een broodjeaapverhaal?
Slimme producten van de Lidl
‘Zorgwekkend’
Toch niet helemaal, want in het verleden is al bewezen dat ondanks dat white label-fabrikanten van smarthome wel uitpakken met encryptieprotocollen, de producten in kwestie wel degelijk kwetsbaar zijn gebleken. De internetbeveiligingsexpert Michael Steigerwald van Vtrust onthulde twee jaar geleden hoe hij relatief eenvoudig een stel Tuya-lampen wist te hacken. Dat maakte hij twee jaar geleden bekend tijdens een keynote van de Chaos Computer Club, dat is Europa’s grootste collectief van ethische hackers. De Duitse expert onthulde niet het merk van de Tuya-lampen, maar volgens hem ging het om een wereldwijd probleem met deze producten.
“Wij maken ons zorgen omdat we ons afvragen of deze golf van goedkope smarthomeapparaten te vroeg komt”, aan het woord is Dave Maasland, de eigenaar en CEO van het internetbeveiligingsbedrijf ESET Nederland. “Het is ook gewoon lastig om een ecosysteem veilig te houden, en dat merken we al bij grote fabrikanten. Er zijn een aantal belangrijke richtlijnen op het vlak van beveiliging: apparaten moeten makkelijk te updaten zijn en ze mogen geen hardcoded-wachtwoorden bevatten. Aan de andere kant merken we dat de kennis van consumenten over deze IoT-apparaten relatief beperkt is. Die kennis is groeiende, maar op dit moment wordt de markt al wel overspoeld door dit soort van apparaten.”
Dave Maasland, CEO van ESET Nederland. Foto: William Rutten
“Het verschil met smarthomeproducten en pakweg onze telefoon is dat beveiliging op telefoons eerder naadloos is dankzij automatische updates bijvoorbeeld. Dat is met het Internet of Things wel anders. Als je aan iemand vraagt: “Hoe vaak heb je op je router ingelogd om het wachtwoord te veranderen”, dan vragen mensen zich meestal af: “Kan ik op mijn router inloggen?”
Pronken met termen
AW: Bij Tuya, het Chinese bedrijf achter de vele white label-producten, zijn eerder al kwetsbaarheden ontdekt. Hoe groot acht je de kans dat er nog meer van dit soort problemen zullen opduiken?
“Vorig jaar heeft ESET een grootschalig onderzoek gedaan naar de beveiliging van smarthomeproducten, en we stelden toen ernstige kwetsbaarheden vast bij producten met Alexa [de slimme spraakassistent van Amazon, Nvdr], zoals smart speakers en dat soort producten. Het is heel moeilijk voor te stellen dat de partij die jij noemt er klaar voor is om op grote schaal een veilig en robuust platform van IoT-apparaten in de markt te zetten.”
AW: Toch pakken ook deze bedrijven uit met Europese servers, verschillende modellen van encryptie en meerlaagse beveiliging. Tuya maakt ook deel uit van de Zigbee Alliance. Dat schept toch vertrouwen bij een consument?
“Voor alle duidelijkheid, een bedrijf heeft er ook zelf baat bij om zijn beveiliging op orde te hebben. Los daarvan moet je je als consument voor de aankoop van het product afvragen: ‘Vertrouw ik dit bedrijf?’. WhatsApp kan ook van alles roepen over end-to-end-encryptie en dat er geen link bestaat met de data op Facebook, maar in theorie kan het bedrijf wel misbruik maken van de consument. Dat geldt zeker ook voor dit bedrijf in kwestie. Het is daarom belangrijk dat consumenten zich laten informeren door techsites alvorens over te gaan tot een aankoop. Als je een product in huis haalt dat verbinding maakt met het internet en ook verbinding maakt met andere producten in je huis, dan moet je wel rekenen op wat anderen erover zeggen die iets meer over deze materie weten dan jij.”
Kennis vergaren
AW: Wat zijn dan de belangrijkste dingen waar we op moeten als je de betrouwbaarheid van smarthomeproducten wil inschatten?
“Ik zou met niet te veel zorgen maken om de achtergrond van een bedrijf. Je hebt bijvoorbeeld nu al jarenlang de Huawei-discussies, en daar kan je als gebruiker weinig inzicht in krijgen. Die gaat gewoon uitgevochten worden door instanties.
Waar ik me als consument wel zorgen om zou maken, is de manier waarop je een apparaat bedient en hoe het platform werkt. Neem nu een slimme router die je via een app verbindt en die kan je automatisch updaten via die app. Dat is belangrijk, en ook of je makkelijk de wachtwoorden kan wijzigen en of het platform voor zijn accounts gebruikmaakt van tweestapsverificatie. Het is net zoals bij een auto. Als je een motorkap opent, hoef je echt niet te weten wat alle onderdelen betekenen, maar je weet wel dat hij bijvoorbeeld op benzine rijdt en waar je de koelvloeistof kan vullen.”
AW: Er is dus een zeker basiskennis die wel aangewezen is voor consumenten. Anderzijds zeg je dat je je niet al te veel zorgen hoeft te maken om de achtergrond van een fabrikant. Als je nu Philip Hue-smart lampen wil kopen van een bedrijf als Signify. Heeft zo’n bedrijf dan geen streepje voor?
“Alle techbedrijven maken op een geven moment dezelfde fouten op het vlak van beveiliging. Het is altijd een kwestie van beveiliging versus gebruiksgemak, en het verschil met grote partijen zoals een Signify of een Google is dat ze al wat verder staan in dat proces. met deze opkomende fabrikanten van low-budget-producten is de kans groot dat zij nu tegen problemen aanlopen die voor de grote spelers al lang verleden tijd zijn.
Ik heb al wel gezegd dat elk bedrijf er voordeel bij heeft om zijn beveiliging op orde te hebben voor de consument, maar deze opkomende bedrijven gaan het wel moeilijk krijgen. Ik had het net ook over een zekere basiskennis voor consumenten. Als je een videodeurbel hebt van Ring, dan weet je dat beelden van jouw straat op een server staan van het Amerikaanse Amazon. Als je dat beseft, stel je je de vraag of je daarmee akkoord gaat.”
Geen privacy-by-design
AW: Ring, het voorbeeld dat je aanhaalt, heeft in het verleden ook al een portie problemen gehad. Je gaf zelf al het onderzoek van ESET aan over Alexa-producten en er zijn ook andere kwesties geweest, dit jaar nog.
“Als ik zo’n product zou kopen, dan zou ik me toch beter voelen bij een deurbel van Ring dan bij een white label-product, want je weet dat een bedrijf als Ring al talloze keren is gecontroleerd door beveiligingsexperts. Als ik een advies mag geven over goedkope producten, dan is het wel om beter nog even te wachten.”
AW: Da’s duidelijk. Als er dan toch een kwetsbaarheid wordt ontdekt bij techbedrijven, zoals dit voorjaar bij Zoom, de dienst voor videovergaderingen, dan valt het me op dat die dingen naar buiten komen wanneer producten meer onder de aandacht vallen. Zoom zag het aantal videovergaderingen explosief stijgen en kwam zo onder de aandacht van beveiligingsexperts. Toen bleek dat er veel problemen waren.
“Zoom is een interessant voorbeeld. Een belangrijk aspect is dat Zoom erg snel heeft gereageerd op de fouten, en daar kunnen veel bedrijven een puntje aan zuigen. Een belangrijke opmerking voor Zoom is wel, en dat geldt ook voor de kwestie van smarthomeproducten, dat het niet is gemaakt met privacy-by-design [Software die volledig wordt gemaakt met de privacy van gebruikers als prioriteit, Nvdr.]. Dat voel je wanneer bedrijven al die dingen achteraf nog proberen te verhelpen, en dan vraag je je automatisch af: ‘Wat is er nog meer fout?’”
Maatschappelijk probleem
AW: Kunnen we dan niet stellen dat het aan een orgaan zoals de Europese Commissie is om consumenten beter te behoeden voor beveiligingsproblemen met smarthomeproducten?
“Ja, da’s een goeie opmerking. Je hebt nu vooral richtlijnen die worden gecommuniceerd, maar die zijn niet verregaand. Als er door zo’n grote vraag naar toegankelijke, smarthome een gat in de wand ontstaat, dan denk ik dat het de rol is van overheden om die wand op te vullen. Het kennisvat is bij consumenten laag en die producenten willen nu eenmaal de markt overspoelen, dan is het een zaak om daar versneld op te anticiperen.
" IoT voelt aan als een Russische roulette"
Het is ook niet alleen een probleem voor individuen, maar het is een maatschappelijk kwestie. Als je denkt aan het gevaar van Botnet- en DDoS-aanvallen via IoT-apparaten dan weet je dat ook bedrijven en grotere doelwitten een risico oplopen. Het is aan wetgevers om samen te werken met bekende namen, en vergelijkbaar met voedingslabels moet er ook wegwijs komen voor technologische producten.”
AW: Welke rol kan een internetbeveiligingsbedrijf zoals ESET spelen om consumenten te assisteren?
“Onze rol bij IoT wordt steeds belangrijker. Jaren geleden spitsen we ons toe op pc-beveiliging, maar Microsoft heeft nu een goede scanner die de norm is geworden. Wij richten ons nu volledig op Connected Home met onze software voor consumenten, en die beveiliging begint bij de router. We kijken verder dan alleen de pc en zien welke apparaten er allemaal verbonden zijn met je router, en die gaan we dan beveiligen.”
AW: Als je die software gebruikt, hoef je je dan niet langer zorgen te maken om de smarthomeproducten die je in huis haalt?
“Nee, we kunnen helaas geen volledige schil om die producten vormen die ervoor zorgt dat je zonder zorgen kan kopen wat je wil. Wij zijn wel heel sterk in het detecteren van kwetsbaarheden van apparaten en we kunnen alle apparaten op je netwerk in kaart brengen en tonen informatie rond updates. Je krijgt dus wel een goed overzicht en we kunnen zo het leven voor de consument wel makkelijker maken. Uiteraard hebben we ook een firewall, maar toch blijft er altijd nog wel een zeker verantwoordelijkheid die bij de consument zelf ligt.”
De toekomst van smarthome
AW: Hoe zie jij de toekomst binnen vijf of tien jaar? Hoe ver staan we dan?
“De incidenten zullen iets groter worden, maar ik ga geen ramp voorspellen. Terwijl wij hier praten, opent zo meteen de Action? De markt wordt dus overspoeld ook al weten we dat we er nog niet zijn op het vlak van beveiliging. Er gaan dus incidenten plaatsvinden, maar daarmee evenredig zal er ook een strengere wetgeving volgen.
Binnen vijf jaar mogen we wel jurisprudentie verwachten in de meest vooruitstrevende landen, en dan zullen er wel fundamenten worden gebouwd. In de komende tien jaar gaan we wel nog problemen ervaren met de apparaten die vandaag al op de markt zijn verschenen.”
AW: De apparaten die we nu kopen, gaan dus ook in de toekomst nog een negatieve rol spelen?
“Ja die bedrijven moeten een end-of-life-beleid krijgen, zoals wij dat overigens ook hebben voor onze beveiligingssoftware en hoe lang we besturingssystemen ondersteunen. Op dit moment weten consumenten nog onvoldoende wat ze kunnen verwachten, en IoT voelt aan als een Russische roulette. Daar wint in principe niemand bij, en het is een negatief gevolg van de hoge innovatiedrang. Ik verwacht ook dat er dankzij regelgevers wel een oplossing komt.”
AW: We onthouden dus vooral dat er hoop is voor een slimme toekomst.
“Smarthome is ontzettend cool, vergeet dat zeker niet. Er is ongelooflijk veel mogelijk. Tenminste, zolang consumenten niet massaal naar de Aldi, Lidl en Action lopen en die helemaal leegkopen, en wel een juiste en weloverwogen keuze maken voor zichzelf. De toekomst wordt mooi, maar we gaan eerst nog hindernissen beklimmen en daar spelen zowel de media, beveiligingsexperts als regelgevers een grote rol in.”
AW: Die rol zullen we zeker op ons nemen. Dave Maasland, erg bedankt voor dit gesprek.
“Dat is erg graag gedaan.”
Heb jij weleens een voordelig, merkloos smarthomeproduct gekocht en deed je dat weloverwogen of impulsief, dus zonder vooraf onderzoek te doen? Laat het ons weten in de reacties onderaan dit artikel.
