Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ontwikkelaar stuurt reizigers kerstgroet via ongeregistreerde beacons Schiphol

Door , 128 reacties

Een ontwikkelaar heeft tijdelijk het eigendom van enkele beacons op Schiphol overgenomen en ze gebruikt om via nearby notifications kerstboodschappen en een link naar zijn site te sturen aan voorbijgangers. De beacons bleken niet geregistreerd te zijn bij Google.

Om beacons die notificaties te laten sturen, moet een eigenaar ze bij Google geregistreerd hebben, maar dat had Schiphol nagelaten, beschrijft AndroidWorld. Ontwikkelaar Hugo Visser, die eerder onder meer Android-apps als Rainy Days maakte, ontdekte dit en registreerde zelf een aantal beacons op Schiphol, om reizigers een kerstboodschap en een link naar zijn website te sturen.

Op Schiphol zijn sinds 2014 ongeveer tweeduizend beacons geplaatst, onder andere in de vertrekhallen, de lounges, de pieren en de bagagereclaimhallen. Mobiele apps kunnen reizigers via de bluetooth-bakens relevante informatie en adviezen geven op basis van hun locatie.

Afgelopen juni kondigde Google Nearby aan, waarmee beacons zelf ook notificaties kunnen sturen. Gebruikers van een smartphone met Android 4.4 of later die bluetooth en gps aan hebben staan, kunnen met een klik op de notificatie bijvoorbeeld een app installeren of naar een site gaan. De zoekgigant checkt niet of degene die de beacon registreert ook echt de eigenaar is.

Volgens Visser zijn de ongeregistreerde beacons ondanks beschermingsmaatregelen van Google te misbruiken om mensen bijvoorbeeld naar malware door te sluizen: "Ze hebben op Schiphol 'cutting edge'-tech geïnstalleerd zonder de ontwikkelingen bij te houden kennelijk." Volgens hem zijn er honderden mensen naar zijn site geleid via de beacons maar veel meer mensen zouden de notificatie hebben ontvangen zonder door te klikken.

Update, 12.55: Schiphol laat aan Nu.nl weten alle beacons te gaan registreren bij Google.

Olaf van Miltenburg

Nieuwsco÷rdinator

27 december 2016 10:01

128 reacties

Linkedin Google+

Reacties (128)

Wijzig sortering
van die beacons zijn hoe dan ook niet veilig het legt aan de combinatie tussen de software en hardware. Zo zijn de beacon protocollen gewoon een extensie op Bluetooth en de unique identifiers die deze beacons bezitten zijn nog makkelijker te emuleren dan een mac adress.

Be a iBeacon on Linux:
sudo hciconfig hci0 noleadv
sudo hciconfig hci0 leadv
sudo hcitool -i hci0 cmd 0x08 0x0008 1E 02 01 1A 1A FF 4C 00 02 15 92 77 83 0A B2 EB 49 0F A1 DD 7F E3 8C 49 2E DE 00 00 00 00 CE 00


Dat vervolgens software zoals Android bij bepaalde unique identifiers handelingen ondernemen als het tonen van een bericht. Dit terwijl de beacons zo makkelijk te emuleren zijn dat is waarom het fundamenteel kwetsbare infrastructuur is.
Het ligt inderdaad niet aan de beacons.

Stel dat Google het mogelijk maakt om aan de hand van een Wifi SSID een notificatie te sturen naar een telefoon. Dan komt bovenstaande neer op het niet geregistreerd hebben van je Wifi SSID bij Google.

Dit is vooral een probleem rondom de implementatie van Eddystone. Je kan Schiphol hier vrij weinig verwijten. De fabrikant daarentegen had het natuurlijk wel moeten vertellen. En zelfs dat valt bijna niet bij te houden.

Wie weet er dat je tegenwoordig BLE in de browser hebt? Zie https://developer.chrome.com/apps/bluetoothLowEnergy. Je kan bijvoorbeeld scannen voor BLE devices in the browser. Als Google dit niet netjes bouwt vanuit een privacy perspectief zijn we allemaal in de aap gelogeerd.

Ik weet niet of het nu zo'n toffe ontwikkeling is dat beacons moeten worden geregistreerd omdat Google het makkelijk maakt om er mee te spammen.
Eddystone of iBeacon maakt niet zo veel uit, Schiphol gebruikt iBeacons. Ik ben het niet met je eens dat Schiphol (of een ieder die beacons uitrolt) niets te verwijten valt. De technologie verandert snel, dus is het zaak om up to date te blijven, ofwel via hun leverancier of op andere manieren. Hadden ze dat gedaan, dan had men deze functionaliteit juist kunnen gebruiken om gebruikers attent te maken op de nieuwe Schiphol app bijvoorbeeld. Zoals gezegd, deze functionaliteit is tijdens I/O in Juni aangekondigd en gedemonstreerd.

Het is denk ik lastig om eigenaarschap waterdicht te krijgen, maar ik kan me wel voorstellen dat Nearby Notifications niet zo maar meer aan kunnen worden zonder een soort van goedkeuring proces, want dat is een beetje te veel van het goede.

Overigens is zo'n beacon registratie uiteraard gekoppeld aan een developer account, dus bij misbruik zijn er verschillende mogelijkheden om in te grijpen.
Het is dus niet eens Eddystone. WTF.

https://developers.google...duct_name_support_ibeacon

Nou, omdat Google een belachelijke shortcut (door al hun security lagen heen) definieert gekoppeld aan iBeacon IDs, moeten fabrikanten en afnemers ineens achteraf hun beacons gaan registreren bij Google?

Dat is niet zo maar Big Brother, dat is Big Brother waarbij je jezelf als fabrikant aan moet melden. Dat is leuke ID harvesting! Als Samsung, Amazon, Fitbit, Tesla, Microsoft, Vodafone, Ziggo dit door hebben, zijn er binnen no time tig extra "beacon diensten"!

Had je maar moeten registreren!
Of als Apple hun eigen registratiedatabase open toegankelijk gemaakt had, was er geen noodzaak een halfslachtige omweg uit te voeren door bijv. Google...
Huh? Welke registratiedatabase bedoel je?
Afgezien daarvan wel netjes in het nieuws gekomen! :)
Ik zelf zie als veel fundamenteler probleem dat men er geen probleem mee heeft infrastructuur in gebruik te nemen die door iemand anders op afstand gecontroleerd wordt. En nog wel een partij die notoir onbetrouwbaar is gebleken als het gaat om het continueren van zijn producten/diensten of, zoals hier, ongevraagd diepgaande veranderingen doorvoert.

En om zelf maar eens een keer het terroristen excuus te misbruiken: Nu was het een grappige kerstboodschap. Het had ook " In 5 minutes a bomb will go off on this airport - Allah Akbar!" kunnen zijn.
Wat een onzin artikel deze meneer heeft niks overgenomen. Hij heeft alleen maar gebruik gemaakt van een functie die Google 2 jaar na de originele deployment op Schiphol op eigen houtje heeft toegevoegd.

De kop zou moeten zijn Google nearby is makkelijk te misbruiken door iedere willekeurige persoon die in staat is om beacons te registreren. Dit is dus feitelijk een lek aan de kant van Google waar geen enkele it afdeling zich tegen kan beschermen. Dus iedereen moet naar Google wijzen en niet naar de it afdeling van Schiphol.

Maar wel scary dat bedrijven als Google dit soort functies toevoegen en daarmee dus iedereen dwingen om hun beacons bij hun te registreren om zogenaamd misbruik te voorkomen.
Euh, wil jij nu zeggen dat iedere sysadmin van zijn taken ontheven is eens de initiŰle deployment is uitgevoerd? Dat het opvolgen van de beveiliging van een mailserver de verantwoordelijkheid is van de auteur van de mailserver-software?
NOT!
Wie ook die beacons onder zijn verantwoordelijkheid heeft, is er voor verantwoordelijk om er voor te zorgen dat de veiligheid gegarandeerd is, en als dat impliceert dat je je moet abonneren op security-bulletins van de producent, verkoper, softwareleverancier of wat dan nog, dan moet dat maar.
De enige reden dat hier met de vinger naar Google zou moeten worden gewezen, is wanneer zij zouden hebben nagelaten te melden dat beacons zouden moeten geregistreerd worden, quod non, want anders had dhr. Visser dit ook niet geweten.
Wanneer ik een mailsever koop en die in gebruik neem dan is het mijn taak om ervoor te zorgen dat hij voorzien van alle laatste veiligheids eisen en continue mee gaat met zijn tijd.

Maar deze situatie is wel feitelijk compleet anders, analogie:
jij bent eigenaar van een huis en ik loop naar het kadaster en laat het eigendom op mijn naam zetten zonder dat het kadaster even controleert of ik ook echt eigenaar ben.

In dat geval zou iedereen meteen moord en brand schreeuwen maar omdat het hier over IT dingen gaan mag een partij op die manier handelen om daarmee de assets waar jij geld in hebt geinvesteerd voor eigen gewin te gaan gebruiken, want dat is wat google hier doet.

Ze veranderen de regels van het spel in hun voordeel. En zijn daarmee dus ook echt fout.
Je analogie klopt niet. In dit geval koopt Schiphol de grond, haalt de bouwmaterialen, bouwt het huis, opent de deuren voor het publiek waarna jij naar het kadaster gaat om het huis te registreren. Het kadaster checkt vervolgens niet of jij wel de eigenaar bent.

Die laatste stap (registratie bij kadaster) had door Schiphol gedaan moeten worden (beter gezegd, door hun IT afdeling). Ze waren er bijna, maar net niet helemaal.
Dat Google (of in je analogie: het kadaster) niet controleert wie je bent is inderdaad slecht, maar Google (het kadaster) is niet degene die de beacons plaatste (of je huis).
Misschien begrijp je niet hoe het kadaster werkt maar daar ga je naar toe op het moment dat je de grond koopt. Daarna is alles wat jij daar doet voor eigen rekening en jou eigendom iemand anders mag pas iets doen met de spullen op jou grond op het moment dat het kadaster daar toe stemming voor geeft.

Nou juist de functie die jij niet belangrijk vind namelijk de identiteits controle is bij eigendom heel belangrijk. En een die bij dit soort acties van Google en anderen vaak helemaal onder de tafel wordt gehouden.

Wanneer ik jou gedachten volg dan is het feitelijk zo dat Google een soort van regering is die regels uitvaardigt en wij moeten die gewoon maar een op een uitvoeren zonder enige vorm van inspraak opvolgen.
[url]Google een soort van regering is die regels uitvaardigt en wij moeten die gewoon maar een op een uitvoeren zonder enige vorm van inspraak opvolgen.[/url]
klopt ; niet zozeer de inspraak (alhoewel iedereen aandeelhouder kan worden) alswel het deel dat je jezelf telepathisch op de hoogte moet houden van hun nieuwe regelgeving. (Google stuurt ten minste nog nieuwe TOS mee, je krijgt geen verkeerswet updates bij je APK of wegenbelasting)

Dus net zoals we nu advocaat-opleidingen hebben waar mensen in 4 jaar tijd alle nederlandse wetgeving leert, krijg je straks ICT-juristen die in 4 jaar tijd alle Google-regelgeving leren en dire je moet inhuren als je een contract afsluit.
Mbb dat is dus niet waar wat je hier stelt.
1. Google stuurt helemaal geen nieuwe TOS services toe naar de eigenaren van deze beacons want ze weten helemaal niet dat persoon x, y of z deze beacons bezit.

2. De regering is nou juist exact verplicht om ons als burger op de hoogte te brengen van aanpassingen in de wetgeving, dat gebeurt in eerste instantie via het openbaar publiceren van nieuwe wetgeving en in tweede instantie via voorlichtings campagnes die de staat verplicht moet uitvoeren zodat er naar redelijkheid kan worden aangenomen dat de burger op de hoogte is van deze regels. Daarom meld bijvoorbeeld de politie op tv en in het journaal, postbus 51 wanneer ze extra gaan controleren op de uitvoering van een wet of aanpassing daarvan. En daar is dus niks telepathisch aan.
Onafhankelijk van hoe het kadaster werkt (ik heb geen idee and I couldn't care less), blijft het punt staan dat de IT-ers verantwoordelijk zijn voor de registratie, niet Google.
Dat Google de regels veranderd is vervelend, maar zoals mbb hieronder al beschrijft: dat doet onze wetgever net zo goed en daar krijg je geen update van. Google stuurt je wel een aangepaste TOS toe. Dat je die als administrator niet doorleest, daar ligt toch echt jouw fout.
Zie mij reactie hierboven want jullie draaien de situatie exact om wat betreft wie wel en niet iemand op de hoogte stelt.

En eens dat de it'ers uiteindelijk door deze situatie gedwongen worden om de registratie uit te voeren.
Maar wel scary dat bedrijven als Google dit soort functies toevoegen en daarmee dus iedereen dwingen om hun beacons bij hun te registreren om zogenaamd misbruik te voorkomen.
Inderdaad, naast de (eerder gescand via streetview-cars) geregistreerde wifi location, straks dus ook een uitgebreide registratie (database) van (locatie)beacons. Geforceerd om vervolgens te kunnen worden gebruikt door google zelf. Want waarom zou je aan die messages niet een reclame en/of tracking toevoegen......
Hugo Visser is niet zomaar een ontwikkelaar. Hij is mede-organisator van de Dutch Android User Group, Google Developer Expert op het gebied van Android en de maker van android-apt (alhoewel deze nu overbodig is met komst van de annotation processor in de Android Gradle plugin).

[Reactie gewijzigd door P1nGu1n op 27 december 2016 10:16]

Wat ik mij nu afvraag hÚ, is dit niet strafbaar? Lijkt mij een variant van inbreuk op iemands privacy, oftewel spam, door mogelijk ongewenste berichten te sturen naar mensen.
Deze kwestie zal waarschijnlijk net zo gaan als de kwestie van Dixons & Mycom met de 'Wifi-beacons'.

Geciteerd uit het artikel: nieuws: Dixons, MyCom en iCentre volgen klanten door peilen wifi-signaal
"Als je op internet komt, word je ook op allerlei manieren gevolgd", zegt Feike Liemburg van Bluetrace. Volgens het CBP moeten klanten echter wel degelijk worden ge´nformeerd en een opt-out-mogelijkheid krijgen. Als klanten namelijk met hetzelfde wifi-apparaat terugkomen in de winkel, wordt daarbij dezelfde hash opgeslagen; er wordt 'niet onomkeerbaar geanonimiseerd'.

Volgens de wet is deze manier van tracking niet verboden. Nergens in de wetgeving staat beschreven dat tracking via bluetooth / wi-fi niet mag.

Schiphol hanteert zijn eigen regels. Schiphol heeft een groot security-beleid. Ze zullen waarschijnlijk deze tracking vast ergens onder laten vallen.

[Reactie gewijzigd door CyberDonky op 27 december 2016 10:20]

Je zegt wel dat Schiphol een grote security-beleid heeft, maar hiermee slaan ze echt mis.
Je zou verwachten dat hun IT-Security toch wel doorheeft wat wel en wat niet kan...

Natuurlijk is het goed dat deze persoon dat ontdekt heeft, maar wat ik niet snap is dat Google dan geen actie onderneemt om ongeregistreerde Beacons te deactiveren.

De kans dat je door dit soort activiteiten malware op je telefoon krijgt is zeer gevaarlijk, b.v. Identiteits Fraude...
Ik schreef het een stukje verderop ook al. Volgens mij zit het verhaal iets anders in elkaar.

In 2014 legt Schiphol beacons aan die maar 1 ding doen. Locatie signaal uitzenden via Bluetooth. Zodoende kunnen app' s deze als vervanging van gps gebruiken voor locatie bepaling binnen gebouwen.

Afgelopen Juni pas komt Google met de functie om push berichten vanuit de beacons te sturen. Hiervoor moet dat ding bij Google aangemeld worden.

De vraag is dan. Heeft Google all eigenaren gewaarschuwd let er op "JE MOET" de beacon registeren of was het een bericht "Wens je push berichten te versturen dan moet je de beacon aanmelden". Als ze dat al konden natuurlijk en zelf bewust waren van het feit dat dit mogelijk was.
Kennelijk is de CTO niet voldoende op de hoogte van het implementeren van 'Bluetooth-tracking'. Er zijn nog duizend andere beleidsmaatregelen waar een CTO zich over moet buigen. Goed, deze persoon had dit kunnen voorkomen bij gebrek aan security, maar helaas zijn in grote organisaties niet iedereen op de hoogte van elke implementatie. Schiphol Group is zo groot, geloof mij, niet elke IT medewerker bemoeit zich hiermee, wordt niet gehoord of zal het helemaal ontgaan.

En Google kan je hier eigenlijk niet voor blamen.... Schiphol / IT moet zorgen voor een goed OTAP proces! En extra aandacht aan Security en dat mist hier.

Edit: Voor een gesprek verder op gang te brengen vind ik het knap dat jullie dit offtopic vinden ;-)

[Reactie gewijzigd door CyberDonky op 27 december 2016 15:04]

Google maakt het plotseling mogelijk om beacons te registreren en daarmee te spammen. Het nieuws daarover is niet echt heel breed gecommuniceerd. De functionaliteit en beveiliging hiervan ligt vervolgens in dit geval beide in google's handen.
Het is dus Google die zijn beveiligingscheck (ben jij wel echt de eigenaar?) niet op orde heeft.

Dat vervolgens google de security baseerd op "first come, first owner" kun je Schiphol (de echte eigenaar) niet kwalijk nemen. Hooguit had schiphol zelf sneller moeten ontdekken dat Google een registratie proces open heeft gezet.
Tja daar lijkt het allemaal wel om te gaan. Het is best gek te noemen dat het kan maar dat is toch vooral een probleem aan in dit geval Google's kant.

Stel iets wat simpel, Google komt met een zelfde functie. Voer het SSID adres van je router in als je een welkomst bericht wil pushen naar Android gebruikers die in de buurt zijn.

Dan moet dus de hele wereld haar SSID's invoeren bij Google om te voorkomen dat iemand instaat is om jouw SSID te gebruiken om vanuit een voor jou onbekend Google account naar een voor jou onbekende Android telefoon berichten te versturen.
Exact, dat met SSID had ik ook al, zie mijn reactie verderop.

(in feite is die database er al in meervoud, wifi-location, alleen de Google Nearby spam functie mist nog)
:-) Ik had je SSID bericht inderdaad niet gelezen. Er zit in alles ook nog wel een nuance. Je moet als jet het wil "misbruiken" wel een ontwikkelaars account hebben en naar het zich laat aanzien is het ook niet zo simpel om even wat malware te versturen.

Neemt niet weg mooie leerschool voor vooral de tech bedrijven kant. Beacons gebruik toestaan vereist iets meer denkwerk over activatie.
Google maakt het plotseling mogelijk om beacons te registreren en daarmee te spammen. Het nieuws daarover is niet echt heel breed gecommuniceerd. De functionaliteit en beveiliging hiervan ligt vervolgens in dit geval beide in google's handen.
De beacons die wij hebben staan bleken ook niet geregistreerd. Ik heb de systeembeheerder gevraagt waarom dat niet zo was en net als op Schiphol was dat omdat de nieuwe functionaliteit NIET bekend was. We kunnen ook geen enkele melding, email, newsletter etc vinden waarin dit aangekondigt werd voor bestaande beacons.

Wellicht toch ergens gemist maar ik denk dat Google hier ook wel enige blaam treft.
"Ik heb de systeembeheerder gevraagd waarom dat niet zo was en net als op Schiphol was dat omdat de nieuwe functionaliteit NIET bekend was."

Ben ik wel benieuwd, heb je de " nieuwe"functionaliteit dan nodig? Of zijn de beacons enkel bedoeld voor locatie bepaling voor een eigen app?
Dat is nou juist de grap. Mr. Visser registreerde de beacons zelf bij Google, waardoor hij er dus push berichten mee kon gaan versturen. Het lijkt mij handig om, indien mogelijk, een registratie methode te verzinnen waarbij het niet zomaar mogelijk is om een beacon te registreren die niet van jezelf is.
Mij stelling is dat hoe groter het bedrijf, en hoe meer de managers verdienen hoe slechter het "product" is. Denk dat die IT managers dit niet eens wisten, hoe schokkend :(
Volgens de wet is deze manier van tracking niet verboden. Nergens in de wetgeving staat beschreven dat tracking via bluetooth / wi-fi niet mag.
Wetgeving zelf staat nooit specifieke details mbt invulling en technieken.

In circulaire staan die details.

Wat die man heeft gedaan is strafbaar, zowel inbreken als ook zich voordoen als Schiphol (door zich o.a. te registreren)

Tracking mag niet zonder toestemming, zie ook cookiewet.

Er is nog geen circulaire (voor zover ik weet) waarin het beschreven is dus zal er geen handhaving plaatsvinden. Bovendien Autoriteit Persoonsgegevens heeft zo weinig mensen in dienst dat de kans dat ze dit uit zichzelf gaan oppakken nihil is.

Overigens is het de vraag om welke reden ze beacons hebben staan. Als het puur uit tracking en informatie voorlichting hebben staan of (waarschijnlijker) om bij incidenten zowel hoeveelheid mensen te identificeren als ook waarschuwing te kunnen versturen.

In laatste geval zal men er zeker niet tegen optreden.
Je maakt hier wel veel aannames over een zaak waar je de 'feiten' uit een summier nieuwsbericht en artikel gebruikt.
Volgens mij staat er nergens in het bericht dat hij zich voordoet als Schiphol.
Wellicht heeft zijn eigen naam wel gebruikt bij de registratie van de beacons
(inbraak is trouwens wel erg gechargeerd, je zou het ook als anti-kraak kunnen zien ;-))

Anders dan (verdiende?) imago schade, is er volgens mij geen schade aangebracht.
En dmv een vrolijke kerstgroet heeft hij naar mijn mening op een positieve manier een vervelende situatie aangekaart.
In deze tijd, met zo'n hoge kans op terroristische aanslagen, had dit systeem erg vervelend gebruikt kunnen worden (in het kader van nep-nieuws zou je hier een behoorlijke angstsfeer mee kunnen creŰren).
Van een locatie als Schiphol hadden we qua security meer mogen verwachten.
Wet computercriminaliteit 2 heeft geen doorbreken van enige beveiliging als eis voordat het strafbaar is.

En er staat in dat hij zich bij Google heeft geregistreerd en beacons gebruikt heeft. Hij had waarschijnlijk geen toestemming.
Inbreken in een pand is ook strafbaar, maar anti-kraak is dan weer toegestaan (daarom ook nog eens extra verwoord). Ik denk dat je daar wel een grijs gebied kan duidelijk maken bij een rechter.

Registratie inderdaad, wat weer slaat op het eerste, maar er valt niet op te maken uit de artikelen dat hij zich ook heeft strafbaar gemaakt aan identiteitsfraude door te doen alsof hij Schiphol is (dat was m'n punt meer).
Dit is geen tracking. Een beacon broadcast alleen.

Het is ook geen Eddystone-URL want dat schrijf je in de firmware en ik ga er vanuit dat het geen hack is gezien er wordt gesproken over eenvoudigweg registreren van bestaande IDs bij Google.

Je hebt dan een Eddystone-UID en een Eddystone-EID. De laatste roteert om dit soort dingen lastiger te maken.

Je kan dus ook Eddystone-UID / EID een binaire blob meegeven als je ze registreert: https://developers.google...ns/attachment_data_format. Let op dat er zelfs een Intent kan worden gegenereert (het is niet gelimiteerd tot openen van websites).
Gewoon Google NearBy uitzetten, krijg je deze meldingen ook niet.

[Reactie gewijzigd door RebelwaClue op 27 december 2016 16:12]

Waar zit dat op m'n iPhone :?
Die heeft dat niet en dan krijg je dus ook geen meldingen. Tenzij je een app installeert die gebruik maakt van de NearBy API.
Dank! Verklaart waarom ik er weinig info over kon vinden!
waar zit dit? Ik heb nog een antieke 4.2.2 android
Zit pas in latere versies, je zal dus ook geen berichten krijgen. Staat ook in artikel dat het minimaal 4.4 nodig heeft :)
Wat bedoel je met dit?

Dat Schiphol z'n beveiliging niet op orde heeft? Ja, dat kan eventueel strafbaar zijn, maar verwacht het niet. Ligt eraan wat het systeem nog meer kan (toegang persoonsgegevens?).

Dat de ontwikkelaar de boel overneemt en zelf berichten stuurt? Waarschijnlijk ook niet echt strafbaar, en anders wel te verdedigen onder het mom van journalistiek. Stegemans is bijv. ook niet veroordeeld voor het illegaal betreden van bepaalde terreinen binnen Schiphol.

Als het al een inbreuk op je privacy is dan is het juist een wake-up call om die beter te beschermen.

[Reactie gewijzigd door Aikon op 27 december 2016 10:23]

journalistiek? zelfs bij stegemans is er totaal geen sprake van journalistiek, alles puur om de sensatie/reclame inkomsten, de rest interesseert ze geen reet. En wat mij betreft zou stegemans ook keihard aangepakt moeten worden voor het illegaal betreden van die terreinen. 'journalistiek' geeft je geen vrijbrief om illegale dingen te doen.
Denk toch dat uitzendingen als die van Stegeman bedrijven/situaties als Schiphol forceert tot verbeteringen. Hij kon ongezien pakketjes (bommen?) in vliegtuigen leggen. Dat wil jij toch niet. Ik snap dat er aan zijn kant ook commercie mee speelt maar ik vind er zeker een meerwaarde aan zitten wat betreft algemeen belang. In dit voorbeeld zeker.
Ben direct met je eens dat de manier waarop zeker geen schoonheidsprijs verdient, maar de zaken die hij aankaart zijn wel goed.

Zo kunnen wegrijden met legervoertuigen, of het ongemerkt plaatsen van pakketten op vliegtuigen..
Ik heb liever dat hij dat op z'n SBS6-manier dat laat zien, dan de eerste beste jihadist terrorist icm. met 'zijn' boodschap.

..dat ie daar tegelijk z'n brood mee verdient, tja. Beter dan een uitkering trekken I guess.
Journalistiek geeft je wÚl een vrijbrief in diverse situaties. Dat jij Stegemans terecht een idioot vind doet daar echt niet aan af.
'journalistiek' geeft je geen vrijbrief om illegale dingen te doen.
Jawel. Een journalist mag onder strenge voorwaarden bepaalde wetgeving overtreden. Zo kan hij/zij bijvoorbeeld geheime opnames maken en zich begeven op plekken waar de beheerder hem niet wil hebben. Hij zal die acties wel altijd later moeten laten toetsen en hij zal dit alleen mogen doen als zijn hoofdredacteur (indien ter sprake) op de hoogte is.

Dat jij Stegemans geen goede journalist vindt doet daar niets aan af.
Op welke manier wordt er inbreuk gemaakt op iemands privacy?
Is het niet zo dat een apparaat gegevens stuurt naar een apparaat? Ofwel dit kan naar mijn inzien niks met privacy inbreuk te maken hebben. Dit is echt een kwestie van nalatigheid.
Als ik daar ga staan en een stapel pamfletjes uit ga delen, of met een megafoon ga roeptoeteren? Dit is een iets modernere variant, maar in basis komt het op hetzelfde neer. Overigens heb je hier ook een hele eenvoudige opt-out, namelijk gewoon BT uitzetten.
Dat zeg je nu wel, maar er zijn al genoeg mensen die klagen als ze zomaar worden aangesproken (op wat voor manier dan ook). Zo ver zijn sommige mensen al gezonken. Dat normale communicatie als een bedreiging wordt gezien.
is geen bedreiging maar gewoon heel storend.
Vooral in een drukke stad gaat het opvallen dat van de 20 mensen die je aanspreken er 19 aan je proberen te verdienen..
Allemaal leuk een aardig natuurlijk maar als je bijna elke dag boodschappen doet ben je het op den duur gewoon beu.
als je bijna elke dag boodschappen doet ben je het op den duur gewoon beu.
Dan moet je ze wat minder vaak doen. :)

Negeren helpt, ''nee dankuwel'' en door blijven lopen ook.
Ik straal het inmiddels uit, mij spreekt niemand aan.
Dat zeg je nu wel, maar er zijn al genoeg mensen die klagen als ze zomaar worden aangesproken (op wat voor manier dan ook). Zo ver zijn sommige mensen al gezonken. Dat normale communicatie als een bedreiging wordt gezien.
Diep gezonken niet echt.
Zie het meer als de schreeuwerige flash advertenties, die haat ik ook.

Soms kom ik onderweg van toegang tot station naar de trein 14 verschillende mensen met een of ander goed doel..... dat is de moderne reclame.
Die lui krijgen zeer goed betaald voor het werven. (1e jaar verdient het goede doel niets aan een donateur.)
Overigens heb je hier ook een hele eenvoudige opt-out, namelijk gewoon BT uitzetten.
Dan werkt mijn koptelefoon niet meer. Handig! |:(
Dan zet je GPS (lees: locatiebepaling) uit. Heb je op Schiphol toch niet nodig.

[Reactie gewijzigd door ArmEagle op 27 december 2016 13:17]

Dit lijkt mij ook strafbaar, aangezien het sowieso misbruik van de beacons is.
Misbruik is relatief.. Ik ontvang liever Merry Christmas dan 'nu 1 euro korting op je eerstvolgende donut bij je koffie' :+
Ik denk het. Als ik het goed heb geeft de telefoon eigenaar zelf toestemming voor het ontvangen van beacon berichten.
Lijkt me niet op basis van privacy, maar wel op basis van computervredebreuk.
Je past een systeem aan wat NIET jouw eigendom is.
Dat de sleutel onder de spreekwoordelijke deurmat ligt, maakt niet uit.
Volgens mij verandert ie niks aan de beacons. Alleen Google heeft iets heel doms gemaakt lijkt het.
Als ik zo'n beacon koop en registreer, en het in mijn tas doe. Dan kan ik op Schiphol (als ik daar ben met mijn tas) ook van die spamberichten uitzenden.
Kortom: een flutsysteem met 0 security en 0 betrouwbaarheid. Alleen geschikt als het door een app gebruikt wordt (dan kan de eigenaar van de app aangeven op welke beacons ie moet aanslaan) maar niet als generiek spam-mechanisme.
De beacon tracked helemaal niks, het is je telefoon die de beacon informatie doorstuurt.

Om onder de wettelijke verplichtingen omtrent tracking te vallen, moet je wel daadwerkelijk zelf iemand tracken. Waarschijnlijk dat google wel een probleem heeft met als daadwerkelijk standaard de beacon info wordt doorgestuurd, maar schiphol doet niks verkeerd. Schiphol houd immers niet bij welke beacon waar geopend wordt.
Dus omdat de eigenaar ze niet registreert kan een ieder ander dit doen? Dat is wel bizar...
Je wilt dus zeggen dat je verbaasd zou zijn als je (Bijvoorbeeld) jou linksys router niet aanpast, het standaard Open WiFi wachtwoord, en standaard admin/admin laat staan. Je verbaasd bent dat het mogelijk is dit aan te passen?

Het is toch niet aan de fabrikant om er voor te zorgen dat jij het op een fatsoenlijke manier uitrolt :)
Als ik het goed begrijp is dat een niet vergelijkbare situatie. Want daar is jouw device lek en moet je het goed instellen. Hier is het Android die geen enkele controle doet.

Misschien zit ik er naast hoor, maar hoe ik het begrijp:
Je hebt een beacon Schiphol12345. Die doet niks anders dan continue naar iedereen schreeuwen dat hij Schiphol12345 is. Een app kan daar gebruik van maken door als hij bij Schiphol12345 is de vluchten bijvoorbeeld te tonen. Nu kan je schijnbaar bij Google opgeven zonder controle dat Schiphol12345 van jou is, en als een Android telefoon die ziet, hij je doorverwijst naar een website. Dat lijkt mij zelf niet het probleem van die beacon, maar van Android.

De volgende vraag: Als ik Schiphol23456 aan maak en daar neer zet, kan ik dan niet alsnog hetzelfde doen? Onafhankelijk van hoe ze hun huidige beacons registreren? En als dit de schuld is van Schiphol, moeten ze dan het ook registreren bij Apple als die zoiets invoeren? En Microsoft wanneer die het ondersteunen? GoPro als hun camera's een functie erbij krijgen? Snapchat wanneer die ook een registratie openen?
Sowieso moet je op Android dan wel NearBy hebben aanstaan, binnen NearBy kan je aangeven of je links wel of niet accepteert of de gehele afzender blokkeert of niet.
Het registratie proces voor beacons kan beter natuurlijk, maar an sich is het in Android redelijk goed afgevangen.
Je kunt idd doorgeven dat een beacon huppeldepup van jou is, maar als deze al geregistreerd is door bijv Schiphol zelf kun je hier zelfs niets meer mee.

Het tweede punt dat je aanhaalt is eigenlijk niets aan te doen, je kunt overal een eigen beacon plaatsen die doet wat jij zegt. De techniek is mooi, maar zoals altijd ligt misbruik op de loer.
Als ik het zo lees zit het iets anders in elkaar. Schiphol plaats in 2014 deze beacons. Pas in Juni dit jaar komt de functie er bij Google om ze te registreren / de api te gebruiken. Zoals de ontwikkelaar ook zegt. "Ze hebben op Schiphol 'cutting edge'-tech ge´nstalleerd zonder de ontwikkelingen bij te houden kennelijk."

Je zou verwachten dat nieuwe toestellen inderdaad gewoon aangemeld dienen te worden maar oudere op bijv basis serienummer eerst een hardware matige stap nodig hebben of een call met een helpdesk voor je kan activeren.
Niet hun fout, maar blijkbaar wel een reden om registratie te forceren.
Wat ik dan weer een goed ding vind :)
Als een fatsoenlijke oplossing uitrol, vind ik het niet erg om die voor support enzv. goed geregistreerd te hebben bij de leverancier
Dat ze op Schiphol nalatig zijn geweest met de beveiliging is gewoon slecht, nu is het gelukkig nog een boodschap zonder kwade bedoelingen.

Maar waarom moet je tegenwoordig altijd maar alles registreren voordat bepaalde functies werken als je iets koopt? Of het nou voor een bedrijf is of niet...
Technisch omdat veel producten server side functionaliteit bieden. En commercieel omdat men wil weten wie de klant is (is ook niet zo gek lijkt me).
Het is niet direct aan de fabrikant, en voor een implementatie op Schiphol zou ik ook verwachten dat degene verantwoordelijk is voor de uitrol dit netjes inregeld, dat is gewoon nalatig en slordig. Maar een grote sticker met 'Let op! Beveiliging staat standaard uit' vanuit de fabriek zou een hoop problemen voorkomen, ook voor eenvoudige thuisgebruikers..
Tsja, dat is wel de amerikaanse standaard.. Er stond niet op de magnetron dat ik hem niet mocht gebruiken om mijn hond te drogen.
Maar ik ben het er mee eens dat die sticker of banner in interface veel zou helpen.

Ook mag je er vanuit gaan dat als je een professional inhuurt, dat deze zijn werk doet..
Helaas ook weer zeer vaak niet het geval.
Een beacon doet niets meer dan een (configureerbaar) signaal de ether in slingeren. Ik denk dat er niets mis is met de beveiliging van de beacon zelf, je zult niet zomaar het apparaat kunnen hacken en het signaal dat verstuurd wordt aanpassen. De fout zit hem hier in wat andere apparaten doen zodra ze dit signaal ontvangen.
Vergelijk het met een nieuwe router of een nieuwe wordpress installatie.
De eerste die de installatie pagina met admin/admin binnenkomt wordt geacht de eigenaar te zijn.
En andersom wordt de eigenaar geacht de eerste te zijn die dit doet.
En dat is niet verwijtbaar? Op WordPress dien je overigens direct een wachtwoord in te stellen - degene die het juiste MySQL password heeft wordt hier geacht de administrator te zijn. Dat lijkt me niet een hele vreemde aanname.

Admin/admin op routers is ook zeer verwerpelijk - hoeveel moeite is het nou helemaal om het standaard wachtwoord het serienummer op het apparaat te laten zijn, bijvoorbeeld. Dat is al een stuk minder voorspelbaar.
Ik zeg ook zeker niet dat dit een goede situatie is, maar het is dus wel gebruikelijk dat wanneer iets nog niet geinstalleerd is, je er dan heel makkelijk bij kunt.
Ik denk dat dat ook mogelijk is met veel handelszaken op allerhande platformen. Vaak krijg je, wanneer je openingsuren van een restaurant of zo opzoekt, een link te zien waar je je als eigenaar kan melden.
Dit is hetzelfde als : "haal router uit de doos, sluit hem aan & klaar" incl default admin/password combinatie etc etc
Alleen hebben de meeste routers tegenwoordig een uniek password...
dat klopt - maar je mag verwachten dat een toko als schiphol toch wel even gekwalificeerd personeel cq bedrijf in de arm neemt om dit te weten
Bizar dat google deze technologie feitelijk "claimt" en je dus eigenlijk verplicht deel te nemen aan hun techniek. Zoiets als "je moet je WiFi ssid bij ons registreren anders gaan we iedereen die langs je huis rijdt een push sturen met een melding hierover" oid.

Dit soort ontwikkelingen geven mij een beklemmend gevoel mbt de macht en controle op de markt van de echt grote partijen...
Ik denk niet dat Google iets 'claimt'. Google maakt een API voor locatie / omgevingsbepaling en maakt een app die die API ook gebruikt. Een andere ontwikkelaar zou dat ook best kunnen maken. Zelfs zonder de API van Google te gebruiken misschien wel.
Ik ben geen expert op dit vlak, dus corrigeer me zeker als het incorrect is, maar volgens mij zit het als volgt: Deze beacons zenden een unieke id uit, die je bij Google kan (of dus eigenlijk "moet") registreren. Het is dus (als ik het goed begrijp) niet zo dat er in deze beacon zelf iets geprogrammeerd is bij deze actie, maar enkel de "missende registratie" bij google "misbruikt" is.
Beacons zijn per definitie onbeveiligd. Het enige wat een beacon doet is een uniek id uitzenden.

De Google API laat eigenaren van beacons contextueel relevante notificaties tonen. Dit zijn overigens notificaties die lage prioriteit hebben en alleen verschijnen als je de notificatie drawer opent wanneer je je telefoon unlockt.

Het probleem onstaat bij de definitie van "eigenaar". Hoe bewijs je dat je eigenaar bent? Google redeneert dat als je beacons gaat deployen, je het publieke id registreert voordat je ze op het vliegveld gaat ophangen. Doe je dat niet, dan kan iedereen (zoals ik) die beacons registereren. Je kan je afvragen of dat houdbaar is. Aan de andere kant is dat (nu) hoe het is.

Wat Schiphol had kunnen doen zijn twee dingen:
- Zelf de beacons registreren
- Een vorm van secure id gebruiken. Daarmee zit je alleen direct aan een vendor vast en kan je offline niets met de beacons.

Ik denk zelf dat Schiphol hier ook een verantwoordelijkheid heeft door de ontwikkelingen te blijven volgen en proactief de beacons had moeten registreren. Bovendien geeft dat de mogelijkheid om de technologie zelf in te zetten.
Kan je misschien iets meer details geven over wat voor type advertentie deze beacons gebruikten? Ik ken eddystone namelijk vooral op een manier dat de url al in de advertisement zit.
Het zijn normale iBeacons, die gekoppeld worden in de management API van Google. Daarna is de functionaliteit zoals aangekondigd in Juni (waar het artikel naar linkt) mogelijk. Dit kan dus met zowel Eddystone (UID en EID) als iBeacons.

Eddystone URL is een ander soort broadcast waarbij het URL in de beacon advertisement zelf zit. Dat is hier niet het geval. Wat er gebroadcast wordt is een uniek id, wat gekoppeld wordt aan een notificatie. Dit is voor management doeleinden ook handiger, met Eddystone URL zou je in het geval van Schiphol 2000 beacons langs moeten als je wil dat ze een url broadcasten.
Oh, wow, dan zie ik het wel echt als fout van google om daar links aan te binden. Thanks voor de verduidelijking.
Het probleem onstaat bij de definitie van "eigenaar". Hoe bewijs je dat je eigenaar bent? Google redeneert dat als je beacons gaat deployen, je het publieke id registreert voordat je ze op het vliegveld gaat ophangen. Doe je dat niet, dan kan iedereen (zoals ik) die beacons registereren. Je kan je afvragen of dat houdbaar is. Aan de andere kant is dat (nu) hoe het is.
Tja daar lijkt wel een kern van het probleem te zitten. Waar van ik dan denk dat dit vooral aan Google's kant opgelost moet worden.

Zijstapje, Als je een bedrijf wil registreren voor weergave in Google maps. Stuurt Google eerst een code per post voordat de registratie voltooid kan worden. Zou toch vreemd zijn dat jij verplicht bent om je adres te registreren bij een Google om te voorkomen dat Google je op maps weergeeft als. Mr piemelmuis.

Waarom is dat bij Beacons niet het verhaal? Je zou zelfs kunnen stellen. Push berichten zijn alleen mogelijk als: A de beacon binnen GPS activatie range X/Y bevind en deze is geregistreerd door persoon X, bedrijf Y met adres X.

Als ik de intentie uit 2014 zo lees van Schiphol was en is dit systeem helemaal niet bedoeld voor push notificaties. Dat Google het toevoegt is dan toch wel hun keuze en hun verantwoordelijkheid om te zorgen dat enkel mogelijk is via de eigenaar.

Beetje vreemde gang van zaken moet ik zeggen.
Dank voor je verhelderende uitleg. Ik blijf het een vrij arrogante houding van Google vinden, maar ik begrijp dat ze daar met hun huidige marktpositie gewoon meer weg kunnen komen. Ik ben het zeker met je eens dat een partij als Schiphol, of de leverancier, hiervan op de hoogte zou moeten zijn en actie had moeten ondernemen...
Omdat zij het Eddystone protocol hebben? Je zult toch iemands standaard moeten volgen. Als iedereen zijn eigen standaard heeft, is het ook geen standaard meer.
Het gaat hier niet over het protocol maar om het feit dat google opeens besluit dat iedere beacon in de wereld bij hun geregistreerd mag worden door iedere willekeurige ontwikkelaar, dat is het probleem niet het protocol.
Wat ik uit het artikel haal is dat op Schiphol speciale Beacon-hardware is geinstalleerd waarmee ze de Google-Beacon functies kunnen gebruiken, en daarna hebben nagelaten om deze te beveiligen bij Google (omdat ze dus de Google-functies gebruiken zou dat moeten).
Google heeft zijn eigen implementatie van BLE beacons, genaamd Eddystone, die hier waarschijnlijk gebruikt wordt. Dit is gewoon een implementatie, naast bijvoorbeeld iBeacon. Beide maken gebruik van de broadcastmogelijkheden van BLE.
Ik vind de kop en inleiding nogal misleidend. Er is niets 'overgenomen'. De beacons zijn niet 'onbeveiligd'. Het enige wat er gebeurd is dat Schiphol ze niet heeft geregistreerd bij google waardoor iemand kon instellen dat je een notificatie ontvangt als je in de buurt van een beacon komt.
Het is vergelijkbaar met stellen dat iemand een GPS satelliet heeft overgenomen wanneer hij een notificatie weet te sturen op basis van GPS co÷rdinaten.
Precies.

Erger nog: in datzelfde concept zou je ook wifi beacons (aka wifi routers en repeaters) ook kunnen registreren bij google en die notificaties gaan sturen als google wifi (locatie) voor registratie openzet.

Dwz, deze zelfde truuk zou zomaar in prive sfeer ook doorgevoerd kunnen worden.: je zet ergens een wifi router neer, past password en ssid aan naar eigen smaak. Zoals je nu gewend bent.
Maar na verloop van tijd zet Google Nearby registratie open: op basis van ssid kun je bij google registreren dat de SSID van jou is. Alleen, ssid is publieke informatie (je router stuurt dat publiek elke seconde de ether in...), dus als een buitenstaander (iemand die langs je huis loopt), eerder is met registreren van jouw ssid, kan iemand die je niet kent dus eigenaar worden van jouw wifi-ssid. En vervolgens kun je dan dus gaan spammen.

*ssid, mac-adres etc. In feite doet google dat al: het register van alle geregistreerde ssid's en hun locatie helpt je wifi-location in google/android en andere platformen.
Leuke actie! Maar volgens mij kan je dit Schiphol niet echt kwalijk nemen. Ik vind het raar dat Google je op deze manier eigenlijk verplicht om beacons bij hen te registreren.
Daarnaast zou ik zelf niet ook gewoon een setje beacons kunnen kopen, registreren en overal in Schiphol kunnen hangen? Dan is er hetzelfde probleem.
Je kan gewoon de hele dag op Schiphol gaan zitten met een access point genaamd "FREE WIFI" en sniffen maar. Valt weinig tegen te beginnen.
Exact helemaal waar de kop klopt dan ook totaal niet er is niks overgenomen hij heeft alleen een paar bleutooth ids geregistreerd bij Google die daarna zonder enige check berichten gaan versturen naar eind gebruikers.
Eens. Wat mij betreft zegt dit bericht meer over de controle van Google, en hoe eenvoudig er dus misbreuk kan worden gemaakt van de functionaliteit binnen Android, dan over de eigenaar van de beacons.
Ik snap nog niet helemaal het nut van het doorsturen van deze bezoekers naar zijn eigen website. Zoekt hij een baan en wil hij mensen bij Schiphol zijn kennis laten zien?

Verder is het natuurlijk erg slordig van Schiphol maar ook erg vreemd van Google...
Het is gewoon een proof of concept, dat ze naar zijn website gestuurd worden zou voor statistieken kunnen zijn om te zien hoeveel mensen daadwerkelijk op een link klikken die ze doorgestuurd krijgen van een vreemde.
Bezoekers door sturen naar een pagina, die jij onder beheer hebt. Geeft nog al wat mogelijkheden.

Je kan de content/payload aanpassen, naar uw eigen wensen en afhankelijk laten zijn, van OS versie.

Zo zijn mensen, via een SMS gelokt, naar een bepaalde site met een negatieve payload. Gelukkig doet deze ontwikkelaar dit niet, toch?
Reclame en dus klanten genereren. Meneer is een App develloper wat ik zo even zag op LittleRobots en ja, Apps is booming voor bedrijven die mobiele oplossingen nodige hebben.
Simpel gezegd zou dit onder de spamwetgeving kunnen vallen.

[Reactie gewijzigd door memphis op 27 december 2016 10:14]

Door mensen naar zijn website te leiden, kan hij beter in kaart brengen hoe ernstig het beveiligingslek is.
Zo kan hij simpelweg een counter maken die bijhoudt hoe vaak de pagina geladen wordt en zien hoeveel mensen 'getroffen' worden.
Hits op z'n website, reclameinkomsten van banners.. Maar aangezien het een ontwikkelaar is denk ik voornamelijk gewoon, omdat het kan. Om aan te tonen dat Schiphol blijkbaar zulke zaken niet op orde heeft. En, het levert waarsch. een leuke blogpost op dus misschien nieuwe bezoekers.

Ik denk dat een hoop mensen werkzaam binnen de ICT dit soort acties wel zal herkennen.. In ieder geval een zeer mogelijk scenario m.i.: Management heeft ergens van gehoord, wil het op stel en sprong hebben want 'hip', de eigen ICT afdeling kan niet snel genoeg opleveren op een fatsoenlijke of beveiligde manier o.i.d.. Dus wordt er snel snel een externe club binnen gehaald die het (uiteraard) wel binnen een dagje of wat kan opleveren en wordt er binnen no time iets half/half weggezet. Resultaat: zulke ongein. :P
Ik vind het al irritant als mijn provider mij een notificatie stuurt... |:(
Laat staan reclame onzin. Merry christmas zal door sommige wel gewaardeerd worden.
Ik zie bepaalde actiegroepen al met het schuim in hun mond en eurotekens in hun ogen verkondingen "het is niet politiek correct want niet iedereen viert het".

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*