Slimme vibrator met camera gekraakt door beveiligingsbedrijf

De Svakom Siime Eye, een slimme vibrator met aan het uiteinde een camera, blijkt relatief eenvoudig te kunnen worden gemanipuleerd. Hierdoor zijn de gemaakte beelden ook op afstand door vreemden te bekijken, zo las ik bij Nu.nl na diverse tips (dank, iedereen). En ergens hoop ik dat dit faalproduct ten voorbeeld wordt gesteld aan alle andere faalproducten die we het Internet der Dingen noemen. Maar ja.

De camera in het apparaat kan foto’s en video’s maken, die vervolgens via een app kunnen worden uitgelezen. Leuk bedoeld, alleen heeft men zo te zien hardware van een algemene IP-camera gebruikt. De camera is namelijk op afstand te benaderen, alleen is het wachtwoord een standaardwaarde en is de webinterface (de webinterface?!) geheel van wachtwoorden ontdaan. Ook kunnen zaken als lokale netwerknamen worden uitgelezen.

Een keiharde faal dus, dit apparaat. Alleen is dit dus enkel nieuws omdat het om een vibrator gaat: het is doodnormaal dat dergelijke internet-enabled apparaatjes worden voorzien van slechte beveiliging, standaardwachtwoorden en abuisievelijke achterdeuren. Wordt het niet eens tijd dat daar wat aan gedaan wordt?

In theorie zou dat hier kunnen: het apparaat verwerkt persoonsgegevens (de beelden zullen naar verwachting mensen in beeld brengen) en moet daarom adequaat beveiligd zijn tegen datalekken en misbruik van persoonsgegevens. Een stevige boete zou hier dus wel op zijn plaats zijn. Maar ja.

Arnoud

29 reacties

  1. Hm. Klinkt als een slechte 1-aprilgrap.

    het apparaat verwerkt persoonsgegevens (de beelden zullen naar verwachting mensen in beeld brengen)
    Volgens mij worden de mensen vanwege de extreme close-up niet herkenbaar in beeld gebracht (tenzij misschien voor hun gynaecoloog) en gaat de WBP daarom hier niet op.

    1. Dat is niet de vraag, de vraag is (onder EU-recht tenminste): is de informatie herleidbaar tot individuen? Zo ja, dan gaat het om persoonsgegevens.

      Mij lijkt dat die herleidbaarheid niet uitgesloten is en eigenlijk voor de hand ligt (via IP en/of uniek productnummer dat gekoppeld is aan een klant en/of mogelijk herkenbare lichamelijke eigenschappen en/of herkenbare omgeving, etcetera) en dat de gegevens dus behandeld moeten worden als persoonsgegevens waarop AVG van toepassing is.

    2. Er zijn wel gevallen bekend waarbij mensen zich veilig waanden door hun gezicht niet in beeld te brengen, maar vervolgens toch door bekenden herkend werden aan de hand van moedervlekken of iets dergelijks…

  2. Dit apparaat dus! 😀 Met online handleiding. en een video-uitleg! (Nee, er valt niets te zien daar, heren..)

    De vraag is alleen hoe ernstig dit lek uiteindelijk is. Dit is niet een camera die je 24/7 zult gebruiken. De batterij gaat hooguit 2.5 uur mee bij gebruik. En de vraag is verder hoe ver het WiFi signaal uiteindelijk gaat. Dit is niet echt een apparaat dat je in een openbare gelegenheid gaat gebruiken, toch? De camera is daarnaast bedoeld voor close-ups dus voor normale foto’s niet geschikt. En een klacht over de camera die ik online vond was dat de lens snel smerig wordt bij “intern gebruik” en daardoor geen goede beelden kan maken. Daarnaast maakt dit apparaat een eigen netwerk aan en is het dus niet verbonden met het Internet.

    Ja, het apparaat faalt enorm qua beveiliging maar hoe ernstig is het in dit geval? Het heeft geen Internettoegang dus je moet als hacker in de buurt zijn en de bijbehorende software hebben. Je moet daarnaast ook het geluk hebben dat het apparaat wordt gebruikt want anders kom je er ook niet bij. (Zie ook dit Motherboard artikel.)

    Nou ja, met een beetje pech hebben je buren genoeg verstand om te merken dat j een dergelijk apparaat hebt en merken wanneer je hem gebruikt. Vervolgens moeten ze ook nog eens gaan meekijken en de beelden gaan delen met het Internet. En dat vind ik een onwaarschijnlijk scenario.

    Zouden er echt mensen rond gaan rijden door de stad op zoek naar de Wifi-signalen van deze vibrators? Hoe groot is de kans dat ze deze vinden? En wat zouden ze vervolgens doen met het materiaal? Ja, het betreft persoonsgegevens maar als ze die beelden online gaan delen of proberen de eigenaresse af te persen dan riskeren ze celstraf, boetes en een forse schadevergoeding. Dus ja, het is een fail maar is het echt zo ernstig als het lijkt? Ik betwijfel dat!

    En dat geldt voor meet IoT dingen. Ik heb b.v. een radiografisch autootje met ingebouwde camera. Is wel leuk en gaat ook via een eigen WiFi netwerk. Qua veiligheid dus ook niet erg sterk. Maar ik maak mij er niet erg druk om aangezien dat ding meestal uit staat en een hacker moet wachten tot ik het aan zet om dan te kunnen meekijken met de stofmijten onder mijn bed of om mijn Chihuahua’s van onderen te kunnen bekijken. Maar ik ben wel bewust van het feit dat dit apparaat niet erg veilig is wegens de open WiFi verbinding. Maar goed, het was een goedkoop apparaat en ik krijg waar ik voor betaal.

    1. Maar ik ben wel bewust van het feit dat dit apparaat niet erg veilig is wegens de open WiFi verbinding.

      Deze een-na-laatste zin van je reactie is – los van de juridische status – wel een essentiële. Er een orde van grote meer mensen in deze wereld die de consequenties van het gebruik van zo’n apparaat niet begrijpen.

      1. Maar juridisch gezien is het ook de vraag of ze het hadden kunnen weten. En als je dat apparaat hebt en een App uit de app-store en je kunt zo verbinden met je apparaat zonder een code of wachtwoord in te voeren, dan moet je ook beseffen dat anderen met dezelfde App precies hetzelfde kunnen doen. Dat is alsof je een huis koopt zonder dat er een sleutelgat in de voordeur zit en je deze dus zo open doet. Je zou wel beveiliging verwachten maar op het moment dat je het apparaat bekijkt merk je dus dat dit ontbreekt.

        In dit geval het apparaat retourneren gaat overigens niet zomaar wegens de toepassing die dit apparaat heeft. Het valt onder de uitzonderingen wegens de hygiene…

        1. Conformiteit geldt ook voor dit soort intieme producten. Je mag nmm van dit type producten verwachten dat ze de privacy beschermen. De koop kan op basis van non-conformiteit ontbonden worden.

          1. Goed punt. Alleen heeft men de verwachting geschept dat de betreffende beelden beveiligd zijn? De productpagina van dit apparaat zegt daar niets over! De gehele handleiding staat online maar vermeldt niets over enige veiligheid. Kun je dan wel veiligheid verwachten? Waarom verwachten mensen eigenlijk dat IoT apparaten standaard beveiligd zijn? Een koekjestrommel koop je immers ook niet met een beveiligd slot erop… 🙂

            1. Gezien de aard van het product mag je verwachten dat men die beelden heeft beveiligd, ook als men dat niet vermeld.

              Voor een dergelijk product lijkt het mij nalatig om niet te vermelden dat het niet beveiligd is.

              1. Het is dan wel iets dat open staat voor discussie. De vraag is gewoon of je standaard een goede beveiliging mag verwachten bij dit soort apparaten. De standaard bij IoT apparaten lijkt te zijn dat er (vrijwel) geen beveiliging is. Beveiliging is gewoon een extra feature. Ik heb nergens gelezen in de handleiding of productpagina dat dit apparaat beveiligd is dus is beveiliging niet iets dat ik mag verwachten. Het is immers niet vermeld.

                Dat de gemiddelde ICT’er een goede beveiliging verwachten is nog geen reden om te stellen dat beveiliging verplicht zou moeten zijn voor IoT apparaten. Daar is immers geen wettelijke bepaling voor. Ik moet daarbij ook aan de vele CCTV camera’s denken die gewoon de beelden analoog doorsturen zonder beveiliging. Of babyfoons zonder beveiliging. Radiografisch bestuurbare auto’s zonder beveiliging. Zelfs de afstandsbediening van mijn TV is onbeveiligd zodat mijn buurman met zijn afstandsbediening mijn TV aan en uit kan zetten! Dus waarom verwachten wij dat IoT apparaten dan wel beveiligd zijn?

                1. Bij een CCTV of een babyfoon die van een (klassieke) analoge draadverbinding gebruik maakt, wordt de beveiliging van de data bepaald door de fysieke beveiliging van de kabel. Als jij de gordijnen dicht doet zal de buurman veel meer moeite hebben om met zijn afstandsbediening jouw TV te besturen.

                  Bij een goede veiligheidsanalyse ga je kijken naar zowel de aanvalsvectoren, de potentiële schade als de kans dat een aanval slaagt. Voor radiografisch speelgoed (met een fysieke aan/uit schakelaar) is het aanvalsoppervlak beperkt tot de tijd dat het aanstaat en doordat een aanvaller binnen radiobereik boet zijn; de schade is ook relatief beperkt. Daarentegen is het aanvalsoppervlak van een aan Internet hangende thermostaat veel groter (24 uur/dag wereldwijd).

                  Wim, waar jij je speelgoedauto uitzet voordat je met je leuter gaat spelen, zet een dame de Siime Eye juist aan bij activiteiten waarvan de samenleving verwacht dat je die in zeer besloten kring verricht. Een redelijk denkende consument verwacht op zo’n moment geen privacylek.

                2. Wim, ik denk dat je je vergist. Het is juist de IT-er die geen beveiliging verwacht. Deze weet inmiddels wel hoe droevig het gesteld is met IoT.

                  De ‘normale’ consument daarentegen zal een normale verwachting hebben dat bij een dildo of vibrator de privacy (en dus beveiliging) goed geregeld is, dat is vanzelfsprekend.

                  1. Het gaat hier om het scheppen van verwachtingen, dus in de betekenis van “verwerven” of “opdoen”. Dus je hebt verwachtingen geschept, niet geschapen. 🙂 (Ik bedoelde eigenlijk: “maar “geschapen” heeft betrekking op dingen die je maakt. “)

                    1. Maar dat zou betekenen dat die verwachting er al was vóór dit product en dat dit alleen maar naar boven is gehaald. De vraag is dan wie heeft die verwachting geschapen (gecreëerd)?

                      Volgens bovenstaande link worden verwachtingen toch echt geschapen (gecreëerd): Het bedrijf had te hoge verwachtingen geschapen bij zijn investeerders.

    1. Maar er is tot nog toe geen data gelekt! Er is alleen aangetoond dat het apparaat gewoon een beveiligingsprobleem heeft. Daarnaast is het niet de fabrikant/verkoper van het apparaat dat de data lekt maar de gebruiker zelf, die met dit apparaat een eigen netwerk heeft opgezet. En dus zelf (onbewust) haar (zijn?) eigen data aan het lekken is.

      Het apparaat stuurt geen data door naar de eigen servers van de fabrikant. Dus de fabrikant lekt ook geen data. Hier moet een andere wet voor toegepast worden, maar welke? Er is namelijk geen regelgeving die bepaald dat IoT apparaten een adequate beveiliging vereisen. Of vergis ik mij daar, Arnoud?

      1. En zolang het netwerkverkeer van het vibratornetwerk niet naar het hele Internet gerouteerd wordt, is er alleen toegang voor apparaten die zich binnen het Wifi-bereik bevinden. (De buren en een toevallig passerende wardriver). De datalekken blijven derhalve beperkt tot een beperkte regio.

              1. Ik denk best dat je auteursrecht op een woord zou kunnen claimen. Maar dan moet je het woord wel zelf hebben bedacht, en moet je dus niet simpelweg twee bestaande woorden aan elkaar plakken. Misschien is het zo wel een poor-mans registered trademark.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.