De Amerikaanse FTC (Federal Trade Commission) is op twee fronten ontevreden over Amazons IoT-apparatuur. Zowel de camera’s van dochteronderneming Ring als Amazons eigen Alexa-stembediening barsten van de security-misstanden. Zo blijkt IoT-security andermaal onthutsend beneden peil te zijn.
IoT-devices, in de volksmond vaak bekend als ‘smart’-apparatuur, bestaan in zowat alle denkbare vormen. Het nut ervan is afhankelijk van persoonlijke gedragspatronen, maar een fanatiekeling kan nagenoeg alles inmiddels besturen binnen eigen huis en daarbuiten. Echter hebben we al wel vaker gezien hoe het mis kan gaan op security-vlak bij deze ‘Internet-of-Things’-apparaten.
Ring: meekijken en wegkijken
De FTC-klacht (PDF) omtrent Ring liegt er niet om. Dit bedrijf is eigendom van Amazon sinds 2018. Volgens de FTC konden medewerkers meekijken op camera’s die veelal in slaapkamers geïnstalleerd waren en hadden ze toegang tot privévideobestanden van gebruikers. In één specifiek voorval in 2017 werd een mannelijke medewerker niet bestraft toen een vrouwelijke collega hem zou hebben betrapt op het bespieden van 81 vrouwen. Pas toen bleek dat het specifiek ging om het feit dat hij ze knap vond, werd actie ondernomen.
Er was geen training voor Ring-personeel om zorgvuldig om te gaan met deze vergevorderde toegang. Daarnaast zou de security belabberd zijn geweest, waardoor hackers de apparatuur voor hun eigen doeleinden konden kapen. Deze lui konden vervolgens de gebruikers uitschelden, bedreigen of tegenover kinderen racistische uitingen doen.
Alexa: tammer, maar niet minder zorgwekkend
Het Ring-voorbeeld is schrijnend en bewijst dat de angsten dat Big Tech ‘meekijkt’ soms wel heel letterlijk genomen kan worden. In het geval van Amazons Alexa-stembediening waren er echter wat tammere misstanden rondom privacy. Hier ging het om ongeoorloofde dataretentie. Transcripts van uitspraken gemaakt door kinderen werden pas verwijderd als ouders daarom vroegen en konden soms helemaal niet uit een database verwijderd worden.
Dit alles verdedigt Amazon door te stellen dat het ‘slechts’ AI-modellen wil trainen met gebruikersdata. Allemaal leuk en aardig en het zal zeker in de EULA staan bij een aankoop, maar het weet dondersgoed waar het mee bezig is. Wie een Alexa koopt, betaalt niet alleen in geld maar ook in data. Voor consumenten zou een opt-in wenselijk zijn al was het maar wegens ‘peace of mind’, maar daar zijn we momenteel ver van verwijderd.
Dit alles wijst op een terechte zorg over Amazons IoT-aanpak: zowel Ring als Alexa zijn duidelijk op de markt gekomen met privacy als lage prioriteit. Hiervoor ontvangt het miljoenenboetes: 5,8 miljoen dollar (5,4 miljoen euro) en 25 miljoen dollar (23,2 miljoen euro) voor de misstanden bij respectievelijk Ring en Alexa. Torenhoge bedragen voor een doorsnee startup, een schrijntje voor een techgigant als Amazon. Helaas is het lang niet de enige die IoT-security niet op orde heeft.
IoT-wereld mist standaardisering, behalve waar je het níét wil
Zoals gezegd bestaat IoT-apparatuur in alle soorten en maten. Echter keren er een aantal thema’s vaak terug: een gebrek aan security-maatregelen, kwetsbare componenten en hoge connectiviteit. Deze mengelmoes zorgt voor vele dreigingen. De Cyber Management Alliance heeft een aantal incidenten opgesomd. Deze variëren van botnets op camera’s en recorders tot het hacken van nucleaire faciliteiten en het ongeoorloofd op afstand besturen van Jeeps. Vanwaar al deze kwetsbaarheden?
We kunnen terecht bij Trend Micro. Deze securityspecialist benoemt de beperkte computerkracht en afwisselende transmissietechnologie als hoofdoorzaken voor deze problemen. Echter is op een ander vlak er wél standaardisering, zij het onbedoeld: gebruikersnamen en wachtwoorden. Hackers komen makkelijk binnen bij veel IoT-apparatuur omdat ze simpelweg de ‘factory default’-wachtwoorden en usernames hanteren. Zo maken we het hackers wel erg makkelijk.
Kortom: Amazon is wellicht vandaag even op de strafbank, maar het zal bij lange na niet de laatste zijn die de furie van de FTC verdient. Als groot bedrijf heeft het de capaciteiten om voorbij de huidige misstanden te evolueren, terwijl kleinere bedrijven mogelijk niet de infrastructuur hebben om dit onder controle te houden. Lang niet alle bestaande smart-apparatuur zal gepatcht worden om betere security te garanderen, waardoor het aan de consument of organisatie is om niet door hackers te grazen worden genomen. Op deze manier zien we dat de welbekende uitdagingen van hard- en software-security de afgelopen jaren ook voor talloze smart-devices zijn gaan gelden. Het is maar de vraag wanneer IoT-security de aandacht krijgt die het verdient.
Lees ook: ‘EU wil verbod op slecht beveiligde commerciële IoT-apparaten’