Smartwatches, fitnesstrackers en andere wearables zijn ons bijna net zo vertrouwd als onze smartphones en tablets. Deze geconnecteerde gadgets doen veel meer dan enkel de tijd aangeven. Ze volgen onze gezondheid, tonen onze mails, besturen onze smart huizen en kunnen zelfs in winkels gebruikt worden om te betalen. Deze uitbreiding van het Internet of Things (IoT) maakt ons leven gezonder, handiger en verkort de schermtijd van smartphones, wat dit jaar voor de helft van de Amerikanen bijna zes uur is.
De komende jaren zou deze
markt met 12,5% per jaar moeten groeien en in 2028 meer dan US $ 118 miljard
bedragen. Wearables hebben een steeds grotere invloed op ons dagelijks leven,
verzamelen ook meer gegevens en maken verbinding met steeds meer andere
intelligente systemen. Daarom is het noodzakelijk de mogelijke risico's voor
beveiliging en privay te kennen.
Belangrijkste bezorgdheden inzake beveiliging en privacy
Hackers kunnen op
verschillende manieren geld verdienen aan aanvallen op slimme wearables en het
bijbehorende ecosysteem van apps en software. Ze kunnen gegevens en
wachtwoorden onderscheppen en manipuleren en verloren of gestolen apparaten
ontgrendelen, en ook privacy-problemen genereren door het delen van
persoonlijke gegevens met derden. Enkele voorbeelden:
Stelen en manipuleren van gegevens
Smartwatches met talloze
functies bieden gesynchroniseerde toegang tot smartphone-apps, zoals mail en
berichten. Zo kunnen onbevoegde gebruikers gevoelige persoonsgegevens
onderscheppen. Maar weten waar veel van die gegevens worden opgeslagen, is ook
zorgwekkend. Voor bepaalde soorten gegevens – persoonlijke en financiële – is
er een bloeiende ondergrondse markt.
Locatiegebaseerde bedreigingen
Locatie is een ander belangrijk soort
gegevens dat door veel wearables wordt opgeslagen. Met deze informatie kunnen
hackers een nauwkeurig profiel maken van de bewegingen van de drager. Hierdoor
kunnen ze hem volgen, fysiek aanvallen, of zijn auto/huis soms als leeg
beschouwen. De veiligheid van kinderen die deze apparaten gebruiken, is nog
belangrijker zeker als ze gevolgd worden door onbevoegde derden.
Externe bedrijven
Gebruikers moeten niet enkel bewust zijn van de beveiligingsrisico's. De
gegevens die door deze apparaten worden verzameld, kunnen zeer waardevol zijn
voor adverteerders. In sommige markten is er een grote belangstelling voor deze
gegevens, die in de EU naar verwachting strikt gereguleerd zijn door de
wetgeving van 2018. Uit een rapport blijkt dat de gegevens die door fabrikanten
van gezondheidsapparatuur aan verzekeringsmaatschappijen worden verkocht, tegen
2023 US$ 855 miljoen zouden opleveren. Sommige bedrijven zouden ze gebruiken om
advertentieprofielen over de dragers op te stellen en door te verkopen. Als
deze gegevens worden opgeslagen door meerdere andere downstream-bedrijven,
vormt dit een nog groter risico op inbreuken.
Het slimme huis ontgrendelen
Sommige apparaten kunnen ook
worden gebruikt om smarthome-apparaten te bedienen. Ze kunnen zelfs worden
ingesteld om de voordeur te ontgrendelen. Dit is een groot veiligheidsrisico
als apparaten verloren of gestolen worden en antidiefstalinstellingen niet
ingeschakeld zijn.
Waar schieten ecosystemen van apparaten te kort?
Een wearable is slechts een deel van het geheel. Er zijn echter
verschillende elementen, gaande van de firmware van het apparaat tot de
protocollen die het gebruikt voor connectiviteit, de app en de back-end
cloudservers. Ze kunnen allemaal aangevallen worden als de fabrikant niet goed
rekening heeft gehouden met veiligheid en privacy. Hier zijn er een paar:
Bluetooth: Bluetooth Low Energy wordt over het
algemeen gebruikt om draagbare apparaten met een smartphone te verbinden. Maar
door de jaren heen werden veel kwetsbaarheden in het protocol ontdekt. Ze
stellen aanvallers, in de buurt van kapotte apparaten, in staat om gegevens te
bespioneren of te manipuleren.
Apparaten: Vaak is software van apparaten kwetsbaar voor
aanvallen van buitenaf als gevolg van onjuiste programmering. Zelfs het best
ontworpen horloge is door mensen gebouwd en kan daarom codeerfouten bevatten
die ook kunnen leiden tot gegevensverlies, privacy-lekken, enz.
Zwakke authenticatie/encryptie op apparaten kan betekenen dat ze kwetsbaar
zijn voor hacking en afluisteren. Gebruikers moeten ook bewust zijn van 'blikken
achter hun rug' als ze in het openbaar gevoelige berichten/gegevens op hun
mobiele apparaten bekijken.
Apps: Smartphone-apps
gekoppeld aan wearables, vormen een andere aanvalsmogelijkheid. Ze kunnen
bovendien slecht geschreven zijn en vol zitten met kwetsbaarheden, waardoor de
toegang tot gebruikersgegevens en apparaten wordt blootgelegd. Nog een risico:
apps of zelfs gebruikers kunnen onzorgvuldig omgaan met data. Ze kunnen per
ongeluk bedrieglijke apps downloaden, ontworpen om eruit te zien als legitieme
apps, en er persoonlijke informatie mee verzamelen.
Back-end servers: De
cloudgebaseerde systemen van leveranciers kunnen informatie over het apparaat
opslaan, inclusief locatie- en andere gegevens. Het is een aantrekkelijk
doelwit voor aanvallers die op zoek zijn naar gemakkelijk geld. Hier valt niet
veel aan te doen, behalve kiezen voor een gerenommeerde leverancier met goede
beveiligingsreferenties.
Bovenvermelde scenario's zijn niet enkel theoretisch.
Enkele jaren geleden ontdekten beveiligingsonderzoekers wijdverbreide
kwetsbaarheden in smartwatches van kinderen, waardoor locatie- en persoonlijke
gegevens blootgelegd werden. Uit een onderzoek bleek eerder dat veel
fabrikanten niet-versleutelde gegevens van kinderen, die de producten
gebruikten, naar servers in China doorstuurden.
Om de apparaten te vergrendelen
Er zijn verschillende dingen die men kan doen om de
risico's te minimaliseren. Zoals:
·
Twee-factor-authenticatie inschakelen
·
Vergrendelschermen met
wachtwoordbeveiliging
·
Wijziging van de parameters voor de
niet-gemachtigde verbindingen.
De smartphone beschermen door:
·
Enkel legitieme app-stores bezoeken
·
Alle software up-to-date houden
·
Nooit apparaten jailbreaken/rooten
·
App-machtigingen beperken
·
Gerenommeerde AV-software op het
apparaat installeren.
Het slimme huis beschermen door:
·
Geen draagbare apparaten met voordeur
synchroniseren
·
Alle apparaten naar de nieuwste firmware
bijwerken
·
Apparaten op het wifi-gastnetwerk houden
·
Ervoor zorgen dat de
apparaatwachtwoorden, ingesteld door de leverancier, worden gewijzigd.
In het algemeen:
·
Gerenommeerde leveranciers van wearables
kiezen
·
Privacy- en beveiligingsinstellingen
nauwkeurig bekijken om ervoor te zorgen dat ze correct geconfigureerd zijn.
Naarmate wearables een steeds groter deel van ons leven
gaan uitmaken, worden ze een groter doelwit voor hackers. Onderzoek voor u iets
koopt en sluit zoveel mogelijk aanvalspaden af zodra u het apparaat opstart.
LEES OOK DIT: Sports data for ransom – it’s not all
just fun and games anymore
Over
ESET
Al meer dan 30 jaar ontwikkelt ESET®
geavanceerde IT-beveiligingssoftware en -diensten om bedrijven, kritieke
infrastructuur en consumenten wereldwijd te beschermen tegen steeds meer
gesofisticeerde digitale dreigingen. Van endpoint- en mobiele beveiliging tot
detectie en respons van endpoints, encryptie en multi-factor authenticatie,
beschermen en bewaken ESET's krachtige, gebruiksvriendelijke oplossingen
discreet 24/7. Ze updaten in realtime de verdediging om ononderbroken
gebruikers en ondernemingen te beveiligingen.
De constant veranderende bedreigingen vragen een schaalbare
provider van IT-beveiliging zodat technologie veilig kan gebruikt worden. Dit
wordt ondersteund door ESET’s R & D-centra over de hele wereld. Deze zetten
zich in om onze gemeenschappelijke toekomst te ondersteunen.
Voor meer informatie bezoek www.eset.com
of volg het nieuws op LinkedIn, Facebook,
en Twitter.
Om
meer te vernemen over de ESET-oplossingen, bezoek https://www.este.com/be-nl/