‘Plots vroeg mijn stofzuiger een fles wijn’: de gevaren van cybercriminaliteit
Je past maar beter op in een wereld vol technologie. Dat hebben Jennifer Senesael en Kathleen Nackaerts uit Winksele aan den lijve ondervonden toen de robotstofzuiger van Jennifer ineens gecontroleerd werd door Kathleen die een honderdtal meter verderop woont. Lennert Wouters, doctoraatsonderzoeker in computerbeveiliging aan de KU Leuven waarschuwt voor het probleem van hacking bij zogenaamde ‘slimme’ apparaten.
Enkele weken geleden zat Kathleen Nackaerts samen met haar vriend in haar woning in Winksele, klaar om haar hanglampen te bedienen via een app. Regelmatig moet zij de nieuwe aangeschafte lampen verwijderen in haar app en ze terug toevoegen om ze naar behoren te laten werken. Op een avond stond er uit het niets een blauw bolletje met de naam ‘Robotic Vacuum Cleaner’ naast de lampen. “Ik maakte verbinding met het toestel en tot mijn grote verbazing kon ik plots in een ander huishouden binnenkijken. Eerst zag ik een poes die in haar mandje lag te slapen, nadien liep er iemand in ondergoed voorbij en ik schrok mij een hoedje. Meer zelfs, ik had plotseling de volledige controle over de stofzuiger: ik kon kijken waar hij zich bevond op de plattegrond van het huis, of hij nu met veel of weinig zuigkracht en in de buurt van de muren of juist in de gang moest stofzuigen. Daarna probeerde ik te achterhalen in wiens huishouden ik terecht was gekomen. Er stond een microfoonknop tussen de opties, maar welk effect zou dat hebben mocht ik hierop duwen? Omdat ik volgens mij overal ter wereld in de huiskamer kon zijn, vroeg ik in het Engels om een fles wijn. Groot was mijn verbazing toen de fles wijn ook effectief voor de camera werd neergezet”, zegt Kathleen.
Overal ter wereld bleek een honderdtal meter verder te zijn, in de woonkamer van het gezin van Jennifer Senesael. “Mijn kinderen kwamen mij vertellen dat de stofzuiger aan het praten was. Ze waren door het dolle heen. Ik moest eens lachen, maar ze verzekerden mij dat het echt waar was. Ik ging van de badkamer naar beneden en inderdaad: plots vroeg mijn stofzuiger om een fles wijn. Eerst speelde ik het spelletje mee, maar ik heb daar uiteindelijk dagen niet van kunnen slapen. Ik dacht er zelf mee naar de politie te stappen”, klinkt het.
“Sindsdien kreeg ik de ene na de andere melding als die robotstofzuiger opstond. Ik kreeg dat niet meer uit mijn systeem”, zegt Kathleen, die zich toch wat schuldig voelt. “Ik heb die eerste avond een beetje met hun voeten gespeeld. Omdat ik mij enerzijds schuldig voelde en anderzijds absoluut wilde weten hoe de vork nu juist aan de steel zat, heb ik opnieuw contact opgenomen en verteld waar ik woonde. Dat bleek op een steenworp van Jennifer te zijn. Maar het rare is dat ik op meer dan een kilometer van huis nog altijd de stofzuiger kon bedienen”, zo vertelt Kathleen. Zij installeerde de CALEX SMART app, waarmee ze niet alleen haar drie lampen kon bedienen, maar dus ook de stofzuiger. Frappant is dat Jennifer geen enkele app installeerde. “Mijn man vertrouwt al die technologie niet. Terecht zo blijkt. Daarom hebben wij ook een duur model, zo rond de 200 euro van het merk Sanbo, op bol.com gekocht. We hebben die nu ongeveer een jaar en we hebben er voordien geen problemen mee gehad. Maar wie weet wie er ondertussen allemaal bij ons heeft kunnen binnenkijken? Dat is toch beangstigend, hoor. Omdat we bang zijn om iets soortgelijk mee te maken, hebben we de koffiemachine ook uitgetrokken”, geeft Jennifer mee.
Dit soort praktijken valt wel meer voor. Lennert Wouters, doctoraatsonderzoeker in computerbeveiliging en industriële cryptografie aan de KU Leuven, legt uit: “Dit is nu wel een heel erg gek verhaal, moet ik toegeven. Een slimme stofzuiger heeft soms verschillende camera's die nodig zijn om je woonkamer in kaart te brengen. Voor al die rekenkracht is er een krachtige processor aanwezig. Nu kunnen hackers in jouw stofzuiger inbreken en meekijken terwijl die bezig is. Meer nog, ze kunnen je woonkamer in kaart brengen en die gegevens doorverkopen."
“Dat je een robot van op grote afstand kan bedienen is normaal, in de veronderstelling dat de robot met het internet verbonden is en gelinkt is aan je account. Als de echte eigenaars de robot nooit geconfigureerd hebben dan kan deze normaal geen verbinding maken met het internet, tenzij de robot automatisch verbinding maakt met onbeveiligde netwerken. Sommige robots kunnen ook zelf een WiFi-netwerk opzetten en dan kan je daarmee verbinden, maar gezien de afstand in dit geval lijkt me dat hier uitgesloten. De robot heeft dus op een of andere manier verbinding met het internet gemaakt. Misschien maakt de robot automatisch verbinding met onbeveiligde netwerken. Dat is niet onmogelijk maar dat heb ik nog nooit gezien”, meent Wouters.
“Een meer voor de hand liggende verklaring lijkt mij dat de echte eigenaars, of zonder hun weten eventueel de kinderen, de robot maar half ingesteld hebben: ze hebben hem bijvoorbeeld wel verbonden met hun WiFi-netwerk maar nooit gelinkt aan een account.
In het laatste geval is het dan in theorie mogelijk dat iemand anders het toestel ‘claimt’ en aan zijn account linkt. Meestal kan je enkel toestellen die zich op hetzelfde netwerk bevinden linken aan je account, maar het is niet onmogelijk dat een slechte implementatie van zo een pairing methode toelaat om ook met andere toestellen te verbinden”, zo vertelt Wouters nog. In dit geval had Kathleen geen enkele slechte wil. Maar dat is soms anders. “In Zuid-Korea was er onlangs nog een hacker die zo’n 5.000 euro eiste nadat hij naaktfoto’s en seksfilmpjes van een ‘slim’ apparaat had gehaald”, weet Wouters.
Uit onderzoek van de Europese cluster van consumentenorganisaties Euroconsumers, waar ook Test Aankoop van uitmaakt, blijkt dat slimme toestellen erg vaak lekken vertonen. De groep testte 16 slimme toestellen voor het huis van morgen op beveiligingslekken. Maar liefst 54 kwetsbaarheden werden ontdekt, 10 van de 16 producten vertoonden zelfs ernstige problemen naar veiligheid toe. De consumentenorganisaties spreken van even verontrustende resultaten als uit een eerdere test in 2018. Test Aankoop dringt aan op strenge normen in het licht van een nieuwe Europese wet inzake cyberveiligheid.
“Samen met de consumentenorganisaties in onze partnerlanden dringen we er bij de Europese beleidsmakers op aan dat de wetgeving inzake cyberbeveiliging die momenteel in voorbereiding is op Europees niveau, de vastgestelde tekortkomingen in de beveiliging van slimme apparaten aanpakt. In aanvullende EU-wetgeving moeten bovendien nieuwe bindende regels voor fabrikanten worden ontwikkeld om ervoor te zorgen dat de slimme apparaten die zij op de markt brengen aan minimale beveiligingseisen voldoen”, zegt Simon November van Test Aankoop. “Ook fabrikanten die volop inzetten op slimme toestellen moeten grote inspanningen leveren om ervoor te zorgen dat hun producten veilig zijn om zo consumentenvertrouwen te creëren in de toestellen van morgen”, vult de woordvoerder aan.
De twee dames zijn blij dat er ondertussen toch wat duidelijkheid is in het hele verhaal. Om alles goed te maken, gaf Kathleen Jennifer een fles rode wijn cadeau. “Daar gaan we eens goed van genieten”, aldus Jennifer. “Ik wil graag iedereen waarschuwen die zulke apparaten aanschaft. Hoort er een app bij, installeer hem dan zelf snel zodat de kans kleiner is dat hij zichtbaar wordt voor andere personen. Denk twee keer na en laat je goed informeren bij je kerstaankopen”, lacht Kathleen.
