Wat racistische uitlatingen van robotstofzuigers ons vertellen over smart devices
De afgelopen dagen waren er in de Verenigde Staten incidenten met robotstofzuigers van fabrikant Ecovacs. Eigenaren van het model Deebot X2S werden opgeschrikt door stofzuigers die zichzelf ongevraagd activeerden, om vervolgens de eigenaar door het huis te volgen en racistische leuzen te schreeuwen. Dit was mogelijk omdat de robots zijn uitgerust met een camera, speaker, en een door de fabrikant geleverde app die het voor gebruikers mogelijk maakt om de robot op afstand te besturen.
Deze incidenten werden gemeld door ABC News Australia. Het nieuwsnetwerk heeft contact gehad met verschillende gebruikers die incidenten meldden. Naast racistische scheldpartijen kregen de gebruikers ook te maken met robotstofzuigers die huisdieren achtervolgden. Het leek eerder het werk van tieners die zich verveelden dan van professionele hackers die daadwerkelijk schade konden toebrengen. Toch kunnen uit deze incidenten met robotstofzuigers conclusies getrokken worden.
Updates
Wie robotstofzuigers of andere smart devices gebruikt, moet erop letten dat updates regelmatig worden uitgevoerd om gaten in de beveiliging te dichten. Dit geldt voor particuliere gebruikers, maar zeker ook voor bedrijven. Op het internet aangesloten camera's kunnen immers gebruikt worden om toegangscodes af te lezen, en vertrouwelijke documenten die naar een draadloze printer gestuurd worden kunnen worden onderschept. Ook verstoringen in de productieketen kunnen voor grote schade zorgen.
Daarom voert de Nederlandse overheid de voorlichtingscampagne Doe Je Updates. Via deze campagne worden gebruikers van smart devices sinds 2020 op de hoogte gehouden van ontwikkelingen in de beveiliging van smart devices. De website biedt gebruikers verschillende tips en praktische middelen om het makkelijker te maken om deze apparaten up to date te houden, om zo te voorkomen dat ze door kwaadwillenden gebruikt kunnen worden voor inbreuken op de privacy of erger.
Het voorlichten over en bestrijden van beveiligingsproblemen met smart devices is een van de speerpunten van de Strategie Digitale Economie. De Nederlandse overheid werkt zowel op nationaal als Europees niveau om consumenten en bedrijven te beschermen tegen de gevaren van slecht beveiligde smart devices, met voorlichtingscampagnes en regelgeving
Cyber Resilience Act
Het is niet alleen de gebruiker die hier verantwoordelijkheid in heeft. De Europese Unie wil dat ook producenten van deze apparaten hun verantwoordelijkheid nemen. Daarom heeft de Europese Unie de Cyber Resilience Act (Richtlijn Cyberweerbaarheid, CRA) aangenomen. Deze Europese verordening is op 15 september 2022 voorgesteld door de Europese Commissie en op 10 oktober 2024 aangenomen door de Europese Raad.
In de verordening staan voorwaarden waaraan producenten van smart devices moeten voldoen om hun producten binnen de EU te verkopen. Zo moeten producenten volledige technische documentatie aanleveren, moeten bedrijven zo ontwerpen dat ze niet geleverd worden met standaardwachtwoorden, en zijn ze verplicht om beveiligingsupdates tijdig uit te brengen. Dit om zowel consumenten als bedrijven die deze producten gebruiken zo veel mogelijk te beschermen tegen schade door misbruik van deze apparaten door kwaadwillenden.
Verantwoordelijkheid
En dat is in het geval van de scheldende robotstofzuigers zeker relevant. Onderzoek wijst namelijk uit dat dit kon gebeuren doordat producent Eurovacs, waarvan de producten ook in Nederland verkocht worden, niet goed omging met gaten in de beveiliging. Zo werd het bedrijf vorig jaar al gewezen op een gat in de beveiliging van de bluetoothverbinding die de robotstofzuiger aanstuurt. Ook wordt de pincode die gebruikt wordt om toegang te krijgen tot het systeem dat deze stofzuigers op afstand bestuurt niet extern geverifieerd.
Na eigen onderzoek meldde Eurovacs dat het extern inloggen op het apparaat waarschijnlijk gebeurde omdat gebruikers op de robotstofzuiger eenzelfde wachtwoord gebruiken als elders, en dat deze wachtwoorden waarschijnlijk ook elders buitgemaakt werd. Dit neemt echter niet weg dat dit voorkomen had kunnen worden met een verifiëring van de pincode door de server van de leverancier.
Ook werd Ecovacs al in 2023 gewaarschuwd voor een ander beveiligingslek in de stofzuigers. Ecovacs zegt dit lek gedicht te hebben, maar de ethische hackers die het gat in eerste instantie gemeld hadden zeggen dat deze update niet afdoende was. Na de incidenten met de stofzuigers heeft Ecovacs aangekondigd in november nog een beveiligingsupdate te versturen. Ook kregen gebruikers van de stofzuiger een e-mail met het verzoek om hun wachtwoord te veranderen.
De CRA, die met de goedkeuring van de Europese Raad nu in heel Europa van kracht is, stelt dat vanaf 2027 producenten van smart devices aan deze voorwaarden moeten voldoen. Dit om incidenten zoals scheldende robotstofzuigers onmogelijk te maken. Dit zou in theorie dit soort incidenten onmogelijk moeten maken. Toch blijft het belangrijk om bij het aanschaffen van smart devices op te letten of deze apparaten ook goed beveiligd zijn.