Slimme vibrator met camera gekraakt door beveiligingsbedrijf

| AE 9362 | Beveiliging, Privacy | 29 reacties

De Svakom Siime Eye, een slimme vibrator met aan het uiteinde een camera, blijkt relatief eenvoudig te kunnen worden gemanipuleerd. Hierdoor zijn de gemaakte beelden ook op afstand door vreemden te bekijken, zo las ik bij Nu.nl na diverse tips (dank, iedereen). En ergens hoop ik dat dit faalproduct ten voorbeeld wordt gesteld aan alle andere faalproducten die we het Internet der Dingen noemen. Maar ja.

De camera in het apparaat kan foto’s en video’s maken, die vervolgens via een app kunnen worden uitgelezen. Leuk bedoeld, alleen heeft men zo te zien hardware van een algemene IP-camera gebruikt. De camera is namelijk op afstand te benaderen, alleen is het wachtwoord een standaardwaarde en is de webinterface (de webinterface?!) geheel van wachtwoorden ontdaan. Ook kunnen zaken als lokale netwerknamen worden uitgelezen.

Een keiharde faal dus, dit apparaat. Alleen is dit dus enkel nieuws omdat het om een vibrator gaat: het is doodnormaal dat dergelijke internet-enabled apparaatjes worden voorzien van slechte beveiliging, standaardwachtwoorden en abuisievelijke achterdeuren. Wordt het niet eens tijd dat daar wat aan gedaan wordt?

In theorie zou dat hier kunnen: het apparaat verwerkt persoonsgegevens (de beelden zullen naar verwachting mensen in beeld brengen) en moet daarom adequaat beveiligd zijn tegen datalekken en misbruik van persoonsgegevens. Een stevige boete zou hier dus wel op zijn plaats zijn. Maar ja.

Arnoud

Deel dit artikel

  1. Hm. Klinkt als een slechte 1-aprilgrap.

    het apparaat verwerkt persoonsgegevens (de beelden zullen naar verwachting mensen in beeld brengen)
    Volgens mij worden de mensen vanwege de extreme close-up niet herkenbaar in beeld gebracht (tenzij misschien voor hun gynaecoloog) en gaat de WBP daarom hier niet op.

    • Dat is niet de vraag, de vraag is (onder EU-recht tenminste): is de informatie herleidbaar tot individuen? Zo ja, dan gaat het om persoonsgegevens.

      Mij lijkt dat die herleidbaarheid niet uitgesloten is en eigenlijk voor de hand ligt (via IP en/of uniek productnummer dat gekoppeld is aan een klant en/of mogelijk herkenbare lichamelijke eigenschappen en/of herkenbare omgeving, etcetera) en dat de gegevens dus behandeld moeten worden als persoonsgegevens waarop AVG van toepassing is.

  2. Dit apparaat dus! 😀 Met online handleiding. en een video-uitleg! (Nee, er valt niets te zien daar, heren..)

    De vraag is alleen hoe ernstig dit lek uiteindelijk is. Dit is niet een camera die je 24/7 zult gebruiken. De batterij gaat hooguit 2.5 uur mee bij gebruik. En de vraag is verder hoe ver het WiFi signaal uiteindelijk gaat. Dit is niet echt een apparaat dat je in een openbare gelegenheid gaat gebruiken, toch? De camera is daarnaast bedoeld voor close-ups dus voor normale foto’s niet geschikt. En een klacht over de camera die ik online vond was dat de lens snel smerig wordt bij “intern gebruik” en daardoor geen goede beelden kan maken. Daarnaast maakt dit apparaat een eigen netwerk aan en is het dus niet verbonden met het Internet.

    Ja, het apparaat faalt enorm qua beveiliging maar hoe ernstig is het in dit geval? Het heeft geen Internettoegang dus je moet als hacker in de buurt zijn en de bijbehorende software hebben. Je moet daarnaast ook het geluk hebben dat het apparaat wordt gebruikt want anders kom je er ook niet bij. (Zie ook dit Motherboard artikel.)

    Nou ja, met een beetje pech hebben je buren genoeg verstand om te merken dat j een dergelijk apparaat hebt en merken wanneer je hem gebruikt. Vervolgens moeten ze ook nog eens gaan meekijken en de beelden gaan delen met het Internet. En dat vind ik een onwaarschijnlijk scenario.

    Zouden er echt mensen rond gaan rijden door de stad op zoek naar de Wifi-signalen van deze vibrators? Hoe groot is de kans dat ze deze vinden? En wat zouden ze vervolgens doen met het materiaal? Ja, het betreft persoonsgegevens maar als ze die beelden online gaan delen of proberen de eigenaresse af te persen dan riskeren ze celstraf, boetes en een forse schadevergoeding. Dus ja, het is een fail maar is het echt zo ernstig als het lijkt? Ik betwijfel dat!

    En dat geldt voor meet IoT dingen. Ik heb b.v. een radiografisch autootje met ingebouwde camera. Is wel leuk en gaat ook via een eigen WiFi netwerk. Qua veiligheid dus ook niet erg sterk. Maar ik maak mij er niet erg druk om aangezien dat ding meestal uit staat en een hacker moet wachten tot ik het aan zet om dan te kunnen meekijken met de stofmijten onder mijn bed of om mijn Chihuahua’s van onderen te kunnen bekijken. Maar ik ben wel bewust van het feit dat dit apparaat niet erg veilig is wegens de open WiFi verbinding. Maar goed, het was een goedkoop apparaat en ik krijg waar ik voor betaal.

      • Maar juridisch gezien is het ook de vraag of ze het hadden kunnen weten. En als je dat apparaat hebt en een App uit de app-store en je kunt zo verbinden met je apparaat zonder een code of wachtwoord in te voeren, dan moet je ook beseffen dat anderen met dezelfde App precies hetzelfde kunnen doen. Dat is alsof je een huis koopt zonder dat er een sleutelgat in de voordeur zit en je deze dus zo open doet. Je zou wel beveiliging verwachten maar op het moment dat je het apparaat bekijkt merk je dus dat dit ontbreekt.

        In dit geval het apparaat retourneren gaat overigens niet zomaar wegens de toepassing die dit apparaat heeft. Het valt onder de uitzonderingen wegens de hygiene…

          • Goed punt. Alleen heeft men de verwachting geschept dat de betreffende beelden beveiligd zijn? De productpagina van dit apparaat zegt daar niets over! De gehele handleiding staat online maar vermeldt niets over enige veiligheid. Kun je dan wel veiligheid verwachten? Waarom verwachten mensen eigenlijk dat IoT apparaten standaard beveiligd zijn? Een koekjestrommel koop je immers ook niet met een beveiligd slot erop… 🙂

              • Het is dan wel iets dat open staat voor discussie. De vraag is gewoon of je standaard een goede beveiliging mag verwachten bij dit soort apparaten. De standaard bij IoT apparaten lijkt te zijn dat er (vrijwel) geen beveiliging is. Beveiliging is gewoon een extra feature. Ik heb nergens gelezen in de handleiding of productpagina dat dit apparaat beveiligd is dus is beveiliging niet iets dat ik mag verwachten. Het is immers niet vermeld.

                Dat de gemiddelde ICT’er een goede beveiliging verwachten is nog geen reden om te stellen dat beveiliging verplicht zou moeten zijn voor IoT apparaten. Daar is immers geen wettelijke bepaling voor. Ik moet daarbij ook aan de vele CCTV camera’s denken die gewoon de beelden analoog doorsturen zonder beveiliging. Of babyfoons zonder beveiliging. Radiografisch bestuurbare auto’s zonder beveiliging. Zelfs de afstandsbediening van mijn TV is onbeveiligd zodat mijn buurman met zijn afstandsbediening mijn TV aan en uit kan zetten! Dus waarom verwachten wij dat IoT apparaten dan wel beveiligd zijn?

                • Bij een CCTV of een babyfoon die van een (klassieke) analoge draadverbinding gebruik maakt, wordt de beveiliging van de data bepaald door de fysieke beveiliging van de kabel. Als jij de gordijnen dicht doet zal de buurman veel meer moeite hebben om met zijn afstandsbediening jouw TV te besturen.

                  Bij een goede veiligheidsanalyse ga je kijken naar zowel de aanvalsvectoren, de potentiële schade als de kans dat een aanval slaagt. Voor radiografisch speelgoed (met een fysieke aan/uit schakelaar) is het aanvalsoppervlak beperkt tot de tijd dat het aanstaat en doordat een aanvaller binnen radiobereik boet zijn; de schade is ook relatief beperkt. Daarentegen is het aanvalsoppervlak van een aan Internet hangende thermostaat veel groter (24 uur/dag wereldwijd).

                  Wim, waar jij je speelgoedauto uitzet voordat je met je leuter gaat spelen, zet een dame de Siime Eye juist aan bij activiteiten waarvan de samenleving verwacht dat je die in zeer besloten kring verricht. Een redelijk denkende consument verwacht op zo’n moment geen privacylek.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS