Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Amazon-apparaten kunnen eigen netwerk uitzenden voor ongeautoriseerde verbinding

Amazon wil een update uitbrengen voor bepaalde hardware waarbij de apparaten gebruikmaken van wifi om een eigen netwerk op te zetten met een groter bereik. Daarmee kunnen alle Amazon-apparaten in de buurt automatisch verbinden zonder authenticatie, ook die van andere gebruikers.

Gebruikers van een Amazon-apparaat hebben een mail ontvangen dat hun apparaten in de toekomst gebruik kunnen maken van de nieuwe feature. Amazon Sidewalk is alleen beschikbaar voor Amerikaanse gebruikers, maar omdat Alexa nog niet in het Nederlands beschikbaar is en Amazon zelf ook pas kort in Nederland actief is, hebben veel Nederlandse gebruikers hun Echo-apparaten op een Amerikaanse locatie ingesteld. Veel daarvan hebben ook een melding gekregen.

Sidewalk is een feature die in ieder apparaat van Amazon komt. Dat zijn bijvoorbeeld Echo-apparaten, maar ook Ring-deurbellen. Die gaan een eigen wifisignaal uitzenden waar andere Amazon-apparaten mee kunnen verbinden. Het idee daarachter is dat het bereik groter wordt. Sidewalk zou ongeveer 80kbit/s aan data verbruiken, met een maximum van 500MB per maand.

Met Sidewalk wordt een deel van de bandbreedte van het thuisgebruik ingezet, waarbij de apparaten vervolgens een combinatie van het 900MHz-spectrum, andere frequenties en bluetooth uitzenden. Apparaten die dat uitzenden, veranderen dan in een 'bridge'. Andere apparaten die de functie ondersteunen, kunnen dan vervolgens automatisch met die bridge verbinden.

Voor die verbinding is geen authenticatie of gebruikersinteractie nodig. Dat betekent dat ook apparaten van bijvoorbeeld buurtgenoten die binnen bereik van een bridge zijn, daar automatisch mee kunnen verbinden. Amazon zet de functie standaard aan voor Echo- en Ring-gebruikers, maar laat gebruikers die via opt-out wel uitzetten.

Amazon schrijft dat het niet mogelijk is om te zien welke andere Sidewalk-apparaten op een bridge zijn aangesloten. Die informatie is versleuteld, schrijft het bedrijf. Van de andere kant kunnen apparaateigenaren niet zien op welke bridge hun apparaat is aangesloten. Het bedrijf heeft een whitepaper geschreven waarin de privacy- en securitybeschermingen van het project worden beschreven.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

26-11-2020 • 15:25

158 Linkedin

Reacties (158)

Wijzig sortering
Sidewalk is een feature die in ieder apparaat van Amazon komt. Dat zijn bijvoorbeeld Echo-apparaten, maar ook Ring-deurbellen. Die gaan een eigen wifisignaal uitzenden waar andere Amazon-apparaten mee kunnen verbinden.
Ik ben niet de enige die dit eng vind toch?

Wat is hier het praktisch nut van anders dan een enorm botnet op te zetten waar Amazon ontzettend veel informatie krijgt over je wooncontext?
Het praktisch nut is precies wat jij zegt: een botnet opzetten waar Amazon veel data mee kan verzamelen. De features voor de gebruiker zijn een middel om deze te verleiden deel uit te gaan maken van Amazons ecosysteem.

Ik vind het ook erg eng, maar helaas zijn de meeste "normale" (minder tech savvy/privacybewuste) consumenten zich hier veel minder van bewust van of "hebben ze toch niks te verbergen?", en laten ze zich makkelijk verleiden door de bewust laag gehouden prijzen voor Amazons hardware en diensten.

[Reactie gewijzigd door Tc99m op 26 november 2020 16:26]

Het nut is dat als je bijvoorbeeld een deurbel o.i.d. die een slecht bereik heeft kan blijven werken, ook als jouw netwerk iets minder is. Ik vind dit zelf echter ook geen goed idee.
Ja maar met 80kb/s heeft dat alleen nut voor de bel push message. Beeld kun je vergeten.

Daarnaast. De enige reden waarom die bel dan zou werken is 900MHz wifi, want dat heeft een hogere penetratiegraad. Zorg dan dat interne apparaten 900MHz kunnen zenden. Als in. Breng een losse bridge uit.

Dit is gewoon serieus eng. Juist omdat je als gebruiker geen idee hebt wat en waar is aangesloten. Ook niet van je eigen apparatuur. Troubleshooting wordt er ook niet makkelijker op.
De 'engigheid' zit er vooral in dat de sidewalk een feature wordt genoemd.
Daarmee suggereert ook Tweakers met dit artikel dat het er gewoon bij hoort :?
1 april is nog te ver weg voor dit soort grappen, maar dit gaat echt niet gebeuren op (toekomstig)e legale gronden denk/hoop ik, tijd voor betere/strengere eu wetgeving?
Dit valt toch ook zeker niet te rijmen met de ophef over Huawei bijvoorbeeld...
Inderdaad. Gewoon wetgeving voor schrijven. Net zoals je camera die niet de openbare weg mag filmen.

Ohwacht.. De gemeente/politie delen deze camera's gewoon uit in NL.

Dit wordt gewoon weer een hit net als die @#! voice assistants.
Ja het is is een extra ingang voor hackers en daarmee potentieel een verhoogd risico. Maar feitelijk niet veel anders dan een Ziggo modem die ook een openbaar netwerk heeft naast het 'echte' WiFi-netwerk.

Amazon zal het vertrouwen in hun eigen netwerk erg belangrijk vinden. Als het gatenkaas wordt, dan wil niemand meer een apparaat van ze. Dus de support zal okee zijn, verwacht ik.

Wat echter iedereen lijkt te vergeten is het doel van dit netwerk: namelijk het vergroten van het bereik, via apparaten die potentieel van de buurman zijn !!!

Dus ik heb straks een prima werkend netwerk en één apparaat zit wat verder weg. Eigenlijk te ver weg maar daar merk ik niets van. Via een link met de buurman werkt het gewoon.

Maar daarmee ben ik plots ook wel afhankelijk geworden van die buurman !!!
Mijn buurman gaat me echt niet telkens vertellen wanneer hij een device in- of uitschakelt.

Als die besluit de stekker uit zijn device te trekken, dan heeft mijn apparaat plots geen verbinding meer. En ga dán maar eens zoeken wat er aan de hand is. Er is geen Amazon-supportmedewerker die mijn buurman onder controle heeft. Dit zal dus een heel onbetrouwbaar netwerk opleveren.
Hoe verschilt dit van kpn en ziggo hotspots, waarbij jouw modem ook wordt open gezet voor iedereen die langsloopt?
Is dit nou echt anders dan die Ziggo wifispots die ook opt-out zijn?
Ja, Die ziggo hotspots komen namelijk niet richting het internet via jouw eigen lijn. Deze apparaten wel.

Daarnaast gaat het met die ziggo hotspots om apparaten van een gebruiker waar hij zelf kiest om er mee te verbinden. in dit geval moet je maar hopen dat het goed gaat.

Dit gaat niet via een gescheiden netwerk wat ontkoppeld is met een VLAN oid nee dit apparaat komt rechtstreeks in jouw eigen netwerk en kan daar dus in principe ook lekker rondneuzen wat er allemaal is.
Dat gaat vrij kort door de bocht. Het apparaat dat met de gateway verbindt komt niet "rechtstreeks in jouw eigen netwerk" en daarin lijkt me dit dus juist wél heel vergelijkbaar met de Wifispots van Ziggo.

Wat ik zo zie is dat er namelijk een tunnel wordt opgezet vanaf de gateway naar de sidewalk network server, waardoor alle data vanuit het apparaat gaat. Dat is bij Wifispots natuurlijk niet veel anders. Ja oké, het is met een andere techniek van elkaar gesplitst maar het gaat allemaal over hetzelfde lijntje en door dezelfde apparaten heen. Als je het ene vertrouwd lijkt me dat er weinig reden is om het andere niet te vertrouwen (even buiten beschouwing latend hoe je over Amazon denkt natuurlijk).

Het voornaamste verschil lijkt me dat dit een beetje bandbreedte gebruikt ten koste van je eigen gebruik, maar dat is behoorlijk weinig.

Ik denk dat het een beetje vergelijkbaar is met een LoRaWAN gateway in je netwerk hangen.
Wat ik zo zie is dat er namelijk een tunnel wordt opgezet vanaf de gateway naar de sidewalk network server
Maar dat apparaat zit wel degelijk in jouw lan. Bij ziggo wordt de segregatie al in de router gedaan en dus is er geen verkeer binnen het lan mogelijk. Gast of normaal netwerk is voor de router niet relevant, want het zijn gewoon gescheiden netwerken zonder firewall rules die intervlan verkeer mogelijk maken. Hier is de mogelijkheid wel degelijk aanwezig en moet je er maar op vertrouwen dat Amazon naast de tunnel niet nog wat andere dingen doet. Het apparaat heeft immers default gewoon lan access.
Het voornaamste verschil lijkt me dat dit een beetje bandbreedte gebruikt ten koste van je eigen gebruik, maar dat is behoorlijk weinig.
Nee dus. Er is geen scheiding tussen netwerken en dus kan amazon doen en laten wat ze willen op jouw netwerk (als consumentje).
Ik ging uit van de situatie waarbij het modem van ziggo ook als router wordt gebruikt. Daarbij zit de segregatie binnen hetzelfde apparaat en dus effectief in software. Hier is het in principe hetzelfde: de software van de gateway is ervoor verantwoordelijk dat er een tunnel wordt gelegd en dus externe apparaten niet zomaar binnen het privé-lan kunnen komen.
Het maakt niet uit of het in software zit of niet punt is dat Amazon hier dingen gaat doen, waar het waarschijnlijk geen verantwoordelijkheid voor gaat nemen. Ze betalen je niet voor traffic en als het fout gaat met de tunnel, wat dan? Het probleem is dat de bridge (gateway) wel in je lan zit.

Andersom kan het verbindende apparaat dan dus ook informatie van zijn netwerk versturen via jouw tunnel. Dus iemand die telemetrie niet wil versturen naar amazon kan dit niet meer blokkeren. Tenminste. Hij kan dit in z’n eigen netwerk wel blocken, maar via het andere netwerk (van de buurman) kunnen deze gegevens alsnog gedeeld worden.
Het punt waar ik op reageerde was dat je zei dat Amazon Sidewalk absoluut niet vergelijkbaar is met Ziggo WifiSpots. Ik vind dat het juist wél heel vergelijkbaar is, omdat je een beveiligde, gescheiden omgeving hebt die via jouw apparatuur, apparatuur van een ander het internet op helpt.
Ziggo's modemrouters zitten voor het overgrote deel van de gebruikers waarschijnlijk wél in hun LAN, omdat ze niet zelf een gescheiden router hebben. Mijn punt was dat voor deze gebruikers het verschil tussen WifiSpots en Sidewalk inderdaad maar erg klein is. Ja, Amazon betaalt niet voor het verkeer, dus daar zit een verschil, maar aan de andere kant gebruikt Sidewalk maximaal 500 MB per maand, dus dat stelt niks voor met onze huidige verbindingen.

Het punt dat Amazon geen verantwoordelijkheid gaat nemen als het mis gaat is natuurlijk pure speculatie. Daarnaast ga je er dus vanuit dat Ziggo dat wel zou doen als gebruikers van WifiSpots via een exploit in jouw LAN kunnen komen? Hoe dan? Denk je dat ze dan financiële compensatie gaan geven? Lijkt me erg onwaarschijnlijk, maar goed, ook dat is pure speculatie. Mijn punt was dat beide diensten technieken gebruiken om het LAN van de gebruiker te scheiden van het "publieke" deel dat ze opzetten, en dat het dus mogelijk is dat in geval van een softwareprobleem die scheiding doorbroken kan worden. Daarin zijn de twee diensten dus volgens mij juist wél heel vergelijkbaar.

Op je tweede punt heb je gelijk, @Blokker_1999 zei dat hieronder ook al. Dit lijkt me alleen niet specifiek een probleem van Sidewalk, maar iets dat geldt voor elk apparaat dat je in je netwerk hangt zonder dat je het vertrouwt. Je weet ook niet of een apparaat stiekem met open WiFi netwerken in de buurt verbindt om telemetrie te versturen. Als je een leverancier niet vertrouwt moet je misschien gewoon niet hun producten kopen.
Ziggo's modemrouters zitten voor het overgrote deel van de gebruikers waarschijnlijk wél in hun LAN, omdat ze niet zelf een gescheiden router hebben.
Dan snap je niet wat een router met VLANs doet. Die zit namelijk niet in je LAN. Fysiek misschien wel maar virtueel hangt ie er boven. Verkeer uit een VLAN kan niet zonder firewall regels naar een apparaat verbinden wat in ander VLAN zit. En ja een lekke firewall met RCE zou kunnen, maar die kans is enorm klein.
Het punt dat Amazon geen verantwoordelijkheid gaat nemen als het mis gaat is natuurlijk pure speculatie. Daarnaast ga je er dus vanuit dat Ziggo dat wel zou doen als gebruikers van WifiSpots via een exploit in jouw LAN kunnen komen? Hoe dan? Denk je dat ze dan financiële compensatie gaan geven? Lijkt me erg onwaarschijnlijk, maar goed, ook dat is pure speculatie. Mijn punt was dat beide diensten technieken gebruiken om het LAN van de gebruiker te scheiden van het "publieke" deel dat ze opzetten, en dat het dus mogelijk is dat in geval van een softwareprobleem die scheiding doorbroken kan worden. Daarin zijn de twee diensten dus volgens mij juist wél heel vergelijkbaar.
Ja het probleem is alleen dat ziggo gebruikt maakt van industriestandaarden die door security experts en het bedrijfsleven uitvoerig zijn getest en Amazon een zelf geknutseld protocol. Mag jij mij vertellen wat beter is.

Die tunnel is geen fysieke scheiding, maar slechts een virtueel encryptie laagje rondom verkeer, weet je daar uit te breken heb je gelijk toegang. Met VLAN scheiding moet je eerst uitbreken dan nog eens gaan uitvogelen welke VLANs er zijn en hoe je dan firewall regels gaat maken om toegang te krijgen tot de andere vlan en dan nog eens de boel omgooien. Als het eerste je al lukt.
Dan snap je niet wat een router met VLANs doet. Die zit namelijk niet in je LAN. Fysiek misschien wel maar virtueel hangt ie er boven. Verkeer uit een VLAN kan niet zonder firewall regels naar een apparaat verbinden wat in ander VLAN zit.
Ik snap heel goed hoe VLANs werken en ik snap dat die pakketten van je LAN zijn gescheiden. Mijn punt is precies wat je zegt: het apparaat hangt er fysiek in dus de scheiding zit puur in software. Software is en blijft software, dus daar kunnen lekken in zitten.
En ja een lekke firewall met RCE zou kunnen, maar die kans is enorm klein.
Moh, dat valt wel mee.
Ja het probleem is alleen dat ziggo gebruikt maakt van industriestandaarden die door security experts en het bedrijfsleven uitvoerig zijn getest en Amazon een zelf geknutseld protocol. Mag jij mij vertellen wat beter is.
Mja... Amazon heeft AWS, daar draait zo'n beetje het halve internet op. Om een door hun ontwikkeld protocol nou "zelf geknutseld" te noemen lijkt me vrij kort door de bocht. Ik werk vrij veel met AWS en ik weet dat het zeker niet perfect is (verre van), maar het is wel duidelijk dat er genoeg geld in zit om een paar security experts in te huren.
Die tunnel is geen fysieke scheiding, maar slechts een virtueel encryptie laagje rondom verkeer, weet je daar uit te breken heb je gelijk toegang. Met VLAN scheiding moet je eerst uitbreken dan nog eens gaan uitvogelen welke VLANs er zijn en hoe je dan firewall regels gaat maken om toegang te krijgen tot de andere vlan en dan nog eens de boel omgooien. Als het eerste je al lukt.
Een VLAN is niks meer dan een header voor je ethernet-pakketten. Krijg je root-toegang tot de router zoals via de RCE-kwetsbaarheid die ik eerder noemde? Dan kan je het verkeer afluisteren en eenvoudig zien welke VLANs worden gebruikt om verkeer doorheen te sturen, en je kan de VLAN header in je eigen pakketten zo aanpassen als je wil.

Maar goed, mijn hele punt is dat beide scheidingen in software worden gelegd dus ze allebei in theorie te kraken zijn (en in geval van vele miljoenen kabelmodems dus ook in de praktijk), en dat daarom de twee diensten zeker vergelijkbaar zijn (want daar begon de discussie om). Ik zeg niet dat ze hetzelfde zijn of dat ze precies even makkelijk te kraken zijn, maar het verschil is meer een kwestie van nuance dan zwart-wit.
Zonder het doelwit op de malafide webpagina te krijgen, werkt de aanval niet; de spectrum analyzer is namelijk alleen toegankelijk vanuit het lan. Een alternatief op deze invalshoek is voor de aanvaller om te verbinden met het netwerk en zelf de modem aan te spreken.
Dit werkt dus niet vanuit een gastnetwerk, want daar is die interface niet beschikbaar. Terecht ook overigens. Dit zit niet in de firewall en dus geen mogelijkheid om vanuit gasten vlan naar die interface te kunnen. Je moet al in het netwerk zitten om er wat mee te kunnen. En laat dit amazon apparaatje daar nou net zitten.
Mja... Amazon heeft AWS, daar draait zo'n beetje het halve internet op. Om een door hun ontwikkeld protocol nou "zelf geknutseld" te noemen lijkt me vrij kort door de bocht. Ik werk vrij veel met AWS en ik weet dat het zeker niet perfect is (verre van), maar het is wel duidelijk dat er genoeg geld in zit om een paar security experts in te huren.
Dat zal, maar ik heb tot op heden nog niert gehoord of ze dat ook daadwerkelijk gedaan hebben.
Maar goed, mijn hele punt is dat beide scheidingen in software worden gelegd dus ze allebei in theorie te kraken zijn (en in geval van vele miljoenen kabelmodems dus ook in de praktijk), en dat daarom de twee diensten zeker vergelijkbaar zijn (want daar begon de discussie om).
Ja maar dan is alles in software dus vergelijkbaar. Dat is een beetje een rare conclusie natuurlijk. Als we het dan vergelijken zou de correcte vergelijking eentje zijn met een VPN. Functioneel namelijk wel hetzelfde.
Dit werkt dus niet vanuit een gastnetwerk, want daar is die interface niet beschikbaar. Terecht ook overigens. Dit zit niet in de firewall en dus geen mogelijkheid om vanuit gasten vlan naar die interface te kunnen. Je moet al in het netwerk zitten om er wat mee te kunnen. En laat dit amazon apparaatje daar nou net zitten.
Het ging erom dat je zegt dat het heel onwaarschijnlijk is dat er RCE's in de modems van Ziggo zitten, en die zijn er dus wel. Deze weten we van, maar er kunnen er natuurlijk makkelijk meer zijn die wél vanaf de WifiSpot werken. Voor Sidewalk kennen we nog geen enkele exploit, maar je gaat er wel vanuit dat die er zullen zijn.
Ja maar dan is alles in software dus vergelijkbaar. Dat is een beetje een rare conclusie natuurlijk. Als we het dan vergelijken zou de correcte vergelijking eentje zijn met een VPN. Functioneel namelijk wel hetzelfde.
De discussie begon met deze vraag:
Is dit nou echt anders dan die Ziggo wifispots die ook opt-out zijn?
Jij gaf aan dat het totaal niet vergelijkbaar is omdat WifiSpots niet in je eigen LAN zitten en de IoT-apparaten van Amazon wel. Mijn tegenpunt was dat WifiSpots alleen maar via software zijn afgeschermd van je eigen LAN, en dat voor Sidewalk in principe hetzelfde geldt. De techniek is anders, maar beide hebben één punt waarop er een risico is dat een aanvaller je netwerk in komt, bij WifiSpots is dat het kabelmodem van Ziggo en bij Sidewalk is dat de Sidewalk Gateway.
Uiteindelijk komt het er dus op neer dat in beide gevallen het risico op succesvolle aanvallen staat of valt met de kwaliteit van de software, en in beide gevallen zou een aanvaller die in de buurt is (want: bereik) en een exploit heeft voor het betreffende apparaat in je netwerk kunnen inbreken.
Daarom zeg ik dus dat het vanuit het oogpunt van security-implicaties zeer vergelijkbare diensten zijn.

[Reactie gewijzigd door martenjacobs op 27 november 2020 13:15]

Dat kunnen ze uberhaubt toch al als je amazon apparaten in je netwerk zet?
Dat klopt. Alleen dan heb je dus controle over welk verkeer wel en niet naar buiten gaat. Dus telemetrie kun je in je firewall in principe blokkeren. Met deze techniek zegt het apparaat dan heel simpel oke prima dan geef ik jouw data wel door via de bridge van de buurman.

En als jouw apparaat de bridge is, wie zegt dat het 💯% secure is en dat er niet toch een exploit mogelijk is met RCE waardoor je alsnog buiten de tunnel kunt gaan rondneuzen?

900MHz wifi heeft een heel groot bereik dus de kans is aanwezig dat een hacker letterlijk twee straten verderop in z’n auto kan zitten en zo al die apparaten mogelijk binnen kan dringen en daarmee andere apparaten in je netwerk kan infecteren.
Als je goed genoeg bent om een firewall te configureren, dan kun je ook een opt out doen van deze techniek :)
Ja nu. Maar wat nou als Amazon die opt out weghaalt of “per ongeluk” niet goed opslaat?
Aan what ifs hebben we natuurlijk niets. Wat als je provider per ongeluk de router open zet?
Probleem is natuurlijk dat je er donder op kunt zeggen dat dit bij de volgende release gewoon de default is. Het is wel Amazon waar we het over hebben.
Probleem is dus dat als ik iets will blokkeren op mijn netwerk van deze apparaten dat die apparaten nu een andere manier kunnen gaan zoeken naar het internet via de apparaten van de buren (mochten die dat ook hebben).

Maar dat wil ook zggen dat op een bepaald niveau er ineens een meshnetwerk beschikbaar komt tussen verschillende netwerken. Als daar ooit exploits voor komen is het hek helemaal van de dam.
LoRaWAN was ook het eerste wat in mij op kwam. En nog iets verder terug packet-radio via 27mc.
Je verhaal klinkt leuk, maar volgens de Amazon whitepaper klopt het niet wat je stelt. De apparaten zitten niet op jouw lan, maar verbinden met een eigen protocol (dus niet wifi) met een Amazon endpoint, waarna de verbinding van dat apparaat encrypted via een eigen kanaal het internet opgaan naar de Amazon servers. Dat is heel wat anders dan wat jij stelt. Heb je jouw verhaal zelf verzonnen of komt die informatie ook vanaf een betrouwbare bron?
En hoe komt het uiteindelijk op het internet? Amazon sidewalk is letterlijk een tunnel over je eigen LAN. staat notabene nog in het artikel vermeld wat het maandelijkse dataverbruik gaat zijn. Dat gaat dus direct over jouw eigen netwerk.
De apparaten zitten niet op jouw lan
dat zitten ze honderd procent zeker wel.
maar verbinden met een eigen protocol (dus niet wifi)
Het gebruikte protocol gaat over wifi (900 MHz). wifi is puur de transport laag.
Dit gaat niet via een gescheiden netwerk wat ontkoppeld is met een VLAN oid nee dit apparaat komt rechtstreeks in jouw eigen netwerk en kan daar dus in principe ook lekker rondneuzen wat er allemaal is.
Dat is wat in je reactie staat en dat klopt simpelweg niet.

Natuurlijk komt het dataverkeer over jouw internetverbinding heen, maar wel getunneld naar de Amazon servers en encrypted. 'Bezoekers' zitten dus helemaal niet rond te neuzen op jouw interne netwerk. Dat dat tunneltje over jouw netwerk loopt is natuurlijk wel zo, maar dat zei je niet. Het enige neuzen dat bezoekers kunnen doen is 'rondneuzen' op de servers van Amazon, aan het einde van de tunnel.

Het verkeer gaat dan ook direct, via een tunnel, naar Amazon en daar pas komt het verkeer (mogelijk) het wereldwijde web op. Overigens is daar met deze apparaten geen sprake van. Gaat er dus een ander apparaat dan een Amazon apparaat proberen te verbinden via dit netwerk, dan komen ze bij Amazon uit via de tunnel. Net als bij Ziggo/KPN eigenlijk.

Hele volksstammen doen hier alsof het een nieuw wifiapparaat is op je interne netwerk, dat is simpelweg onzin.

Het is wel weer bijzonder om te zien dat zoveel reacties hier met +2 wegkomen, terwijl ze overduidelijk onzin verspreiden. Heel jammer weer. Nu is het artikel ook erg onduidelijk en dat helpt ook niet mee.

[Reactie gewijzigd door fapkonijntje op 26 november 2020 16:54]

Bezoekers
Het gaat dan ook niet over de bezoekers, want dat is Henk van twee huizen verderop. Nee het gaat juist om die amazon apparaten die dus telemetrie kunnen versturen via een eigen netwerk. Dus als jij die dingen blocked van access, kunnen ze via de bel van de buren alsnog data over jouw netwerk naar amazon versturen. Het gaat absoluut niet om de buurman, die vertrouw ik meer dan Amazon. Het gaat juist om die apparaten die je wel wil gebruiken, maar niet volledig los wil laten gaan op van alles.

Overigens is dit wel een issue mbt die tunnel, mocht daar ooit een kwetsbaarheid in komen waardoor je wel in het netwerk kunt rondneuzen van iemand anders (en geloof dat daar naar gezocht wordt) dan is het wel een issue want er is geen enkele isolatie.

De bridge is 1 van jouw apparaten en die zit wel dgelijk in jouw LAN, dit wordt direct dan ook een aanvalsvector voor attackers want je hebt dan direct een unit van een botnet in handen.
Dus de consument betaald voor iets wat zij stelen.

Ik heb het niet, anders zou ik het er direct uit donderen. Als die apparaten iets doen wat IK wil is dat goed. Als die dingen iets doen waar ik GEEN toestemming voor heb gegeven is dat diefstal
Maar hoe koppelen ze dan naar het internet. Die gateway is toch gewoon een device in je eigen netwerk (een Echo bijvoorbeeld). Dus dan gaat het wel over jou interne netwerk naar je internet router en dan naar internet. Bij die Ziggo oplossing was het een soort gasten netwerk dat VLAN technisch gescheiden is van je eigen netwerk. Zo heb ik dat ook bijvoorbeeld thuis. Een gasten Wifi die gescheiden is van mijn normale Wifi zodat gasten niet zomaar overal bij kunnen.
Ze koppelen niets met het internet, dat is een misvatting. De apparaten die via dit netwerk verbinden, maken via een tunnel verbinding met Amazon, niet met 'het internet'. Dat die tunnel over jouw internetverbinding loopt klopt wel.

De tunnel gaat vanaf jouw Amazon apparaat over jouw internetverbinding naar de Amazon servers. Maar degene waarop ik reageerde stelde dat iemand in jouw netwerk zou zitten. Dat is onzin. Wel gaat het tunneltje over jouw netwerk.

Ziggo doet dat hetzelfde. Die bieden ook een eigen wifinetwerk aan die het verkeer via de router naar Ziggo stuurt en dus via Ziggo weer naar het wereldwijde web gaat. Dat gebeurt hier eigenlijk net zo goed, alleen gaat het tunneltje nu niet naar Ziggo maar naar Amazon. Maar dit staat allemaal haarfijn uitgelegd in de whitepaper hoor.

Je gastennetwerkje is risicovoller dan dit van Amazon, want bij Amazon gaat alles via hun servers en ook hun externe IP, maar bij jouw gastennetwerkje krijgt iemand jouw IP adres.
Het feit dat die tunnel over jouw internetverbinding loopt betekend dus net dat dat eigen netwerk wel degelijk rechtstreeks in contact staat met jouw interne netwerk via die gateway. Van zodra er een exploit is die het mogelijk maakt om via die gateway het lokale netwerk erachter te benaderen zit je dus ineens wel degelijk in dat netwerk.

Ziggo biedt een eigen wifinetwerk aan op jouw router, maar op geen enkel moment routeert dat netwerk op enige manier naar jouw interne netwerk. Die zijn echt gescheiden van elkaar op router niveau. Dan moet je dus een exploit gaan zoeken voor die router die het mogelijk maakt om tussen die 2 netwerken te gaan routeren.
Volgens mij zijn jouw voorbeelden hetzelfde. In beide gevallen zijn de netwerken virtueel gescheiden en zouden ze potentieel benaderd kunnen worden middels een exploit.
Nee want die scheiding van ziggo is op een heel ander niveau dan dit tunneltje van Amazon.

Als je het dan vergelijkt vergelijk het dan met een VPN. Qua werking kompleet anders dan een gastnetwerk.
Leg dan even uit hoe ze met Amazon verbinding maken als dat niet via internet is.

Ze stelen gewoon jouw verbinding. Aanklagen die lui, en een totaal verkoopverbod op die apparaten.
Maar in dat geval is dat toch het probleem van de eigenaar met de ring bel om zijn netwerk te verbeteren? Waarom zou die dan via het netwerk van de buren opeens moeten gaan lopen?
Omdat de eigenaar van de ring bel zelf niet snapt waarom zijn bereik slecht is en geen zin heeft om een extra AP er bij te zetten. En als die zijn ring bel gewoon aan de deur hangt en het werkt zonder nadenken, is hij een tevreden gebruiker, en zal hij anderen aansporen om dit systeem ook te kopen.

Bijvoorbeeld, 5 huizen verder heeft iemand een andere bel een slecht wifi netwerk, en dat werkt slecht. De eigenaar van de ring bel hangt die om te proberen eens bij die persoon en het werkt wel.

Voor alle duidelijkheid: ik vind het ook griezelig, maar dat is waarom het omarmd zal worden door end-users.

Maar er zijn wel meer dingen griezelig, remember Wi-Fi Sense van Windows.
Dus ik zou betalen voor iets dat mij niets oplevert? Fijn hoor. Om Amazon maar beter te laten lijken.
Maar dat gaat jan met de pet niet snappen. Zeker niet als hij maar 500 MB mist.

Nog veel erger vind ik dat het device in de lan zit bij meeste gebruikers, home users hebben normaal geen vlan. Dus je hebt een tunneled netwerk dat verbonden is met al de lan netwerken van de gebruikers.
Dan gaat die eigenaar een access point kopen met sterkere zenders of meer repeaters plaatsen waardoor de buren (waaronder jij) daar last van gaan krijgen. In het ergste geval kom je in een wapenwetloop waarin iedereen sterkere zenders gaat kopen om de rest maar weg te drukken. Zeker in een flat kan dat rampzalig zijn. Dit systeem voorkomt dat scenario.
je hebt gelijk
dit is eng
je hebt ineens apparatuur in/aan je huis waarover je geen controle over hebt ....
hou daarbij in het achterhoofd van dat veiligheid een proces is en geen toestand zoals veel mensen vaak denken
je kan de functie natuurlijk wel uitzetten.. dus je houd de controle..
Maar een opt-in zou netter geweest zijn..
Ik kan me voorstellen dat toepassingen zoals de Dash button (https://en.wikipedia.org/wiki/Amazon_Dash) hier goed gebruik van kunnen maken. Zo'n knop heeft over het algemeen geen uitgebreide interface en voor de gemiddelde consument misschien te onhandig om in te stellen via Wifi.
Nee het is echt nutteloos, er zit iets heel anders anders dan apparaten beter te laten werken. Een echo in huis als die niet werkt dan is mijn idee dat je je wifi verbeterd. Heb je geen sidewalk voor nodig, Daarnaast om je Ring beeld er mee te versturen is zinloos. De buren hebben buiten wel een goede verbinding terwijl jou WiFi dit niet voor elkaar krijgt.
Allemaal twijfelachtig en in 80% nutteloos voor de gebruiker, maar waarschijnlijk erg handig voor Amazon. Hoop dat de EU hier regelgeving over gaat maken en dit gaat verbieden.
Beeld doorsturen is met 80Kbit/s natuurlijk geen optie. Misschien 10 pixels, maar bij lange na niet de hd beelden die je normaal zou hebben.

Dit is puur voor telemetrie en misschien wat push notificaties.
In theorie is dit een mooi plan. Zo kun je, net als Tile of Apple's Find My, apparaten de kans bieden zich zelf te vinden of ook op wat verder dan je router verbinding te maken.
Ik moet zeggen, met een stikker van Amazon erop wordt alles doodeng. Wat ik me nu wel afvraag, waarom is dit enger dan dat de apparaten al los verbinden met Amazon?
Het is enger omdat ze hiermee restricties van mensen die wel weten hoe een netwerk werkt keihard kunnen omzeilen doordat de buurman geen idee heeft wat ie doet en geen firewalling heeft neergezet voor iets als telemetrie. Je weet wel. Privacy gevoelige dat waar Amazon heel veel verzameld.

Dus zelfs als jij het wel goed regelt kan het via een buurtbewoner alsnog naar amazon worden gestuurd. En dat is ws ook de enige reden, want met 80Kb/s kun je hoogstens een push notificatie op een queue gooien.
Heb het twee keer moeten lezen om te geloven dat dit echt waar is. Persoonlijk heb ik geen spullen van hun, maar iets wat ongeautoriseerd andere mensen van mijn netwerk gebruikt gaat laten maken?

Ik heb een klein vermoeden dat er wat mensen het hier niet mee eens gaan zijn!

Idee is dus leuk. Praktijk zal weerbarstig zijn
Het is feitelijk niet anders dan wat Ziggo en KPN op hun routers doen.
Klanten helpen aan een beetje data. gescheiden verkeer, dus je hebt er geen last van. (en kunt het uitzetten)
Behalve dan natuurlijk dat KPN en Ziggo de kosten voor die 'bezoekers' niet bij jou neerleggen. Ik zie Amazon nog niet tegemoet komen in de eventuele netwerkkosten die jij maakt.

Twee punt is natuurlijk dat de router van Ziggo en KPN in bruikleen is. Als hij door slijtage kapot gaat, dan moeten ze deze kosteloos vervangen. Dat zal Amazon jou ook niet aanbieden.

Ben even die whitepaper door gegaan... Er staan echt zulke nonsens in. Hij had in een derde van de inkt gekund, maar dan had de PR afdeling niet om de hete brei heen kunnen lullen. Ondertussen bespioneren ze hun eigen personeel om zo vakbonden tegen te gaan.
https://www.businessinsid...020-11?international=true

[Reactie gewijzigd door Eonfge op 26 november 2020 16:06]

Belangrijker: als iemand illegale dingen via jouw netwerk doet, dan zijn Ziggo en KPN verantwoordelijk in het geval van een rechtszaak. Verkeer loopt namelijk niet via jouw ip-adres. Ik vermoed dat dit hier anders ligt.

Edit: woordje vergeten

[Reactie gewijzigd door ep667 op 26 november 2020 16:13]

Dit is wel een belangrijk punt. Natuurlijk zal Amazon beweren dat het onmogelijk is dat iemand ongevraagd die verbinding gebruikt om illegale dingen te doen.

In de praktijk is zo ongeveer alles te hacken, dus het zal een kwestie van tijd zijn voordat iemand een Nest/Ring-access-point mod maakt die gewoon internet over deze brug mogelijk maakt. Beetje rondrijden in een auto met laptop en je bent zowat volledig anoniem.
Het enige dat gehakt kan worden is als het Amazon device het wifinetwerkje aan kan bieden maar zónder de tunnel. Best een uitdaging gezien hoe die apparaten werken. Je moet eerst op zo'n device binnen kunnen breken zonder via de tunnel te gaan. Als ze het goed ontworpen hebben (en volgens de whitepaper is er over nagedacht) acht ik de kans bijzonder klein. Niets is onmogelijk, maar ik zie nu even weinig reden tot zorg op dat vlak. Het grotere risico ligt volgens mij bij Amazon die aan het einde van de tunnel zit. Die moet alles dichtgetimmerd hebben.
Het enige dat gehakt kan worden is als het Amazon device het wifinetwerkje aan kan bieden maar zónder de tunnel. Best een uitdaging gezien hoe die apparaten werken. Je moet eerst op zo'n device binnen kunnen breken zonder via de tunnel te gaan. Als ze het goed ontworpen hebben (en volgens de whitepaper is er over nagedacht) acht ik de kans bijzonder klein. Niets is onmogelijk, maar ik zie nu even weinig reden tot zorg op dat vlak. Het grotere risico ligt volgens mij bij Amazon die aan het einde van de tunnel zit. Die moet alles dichtgetimmerd hebben.
Je vergeet dat men kan proberen een exploiteerbare fout in de implementatie van de Sidewalk communicatie-protocollen te vinden om middels een speciaal geprepareerde reeks data pakketjes remote code te gaan uitvoeren en een Sidewalk device over te nemen.

Daar kun jij als gebruiker je eigen niet tegen wapenen, anders dan Sidewalk compleet uit te zetten en hopen dat het gedeelte v/h systeem waar de exploit op van toepassing is dan ook niet meer draait.
Verder heb je totaal geen grip op hoe/waar/wanneer/waarmee jouw apparaat zich gaat verbinden.

Mocht dat lukken, zitten ze vervolgens dus wel direct in jouw lokale netwerk.
(En kunnen ze vanaf jouw device ook verder andere devices infecteren.)
De aansprakelijkheid klopt, maar "Verkeer loopt namelijk niet via jouw ip-adres" is natuurlijk niet de reden. Dat zit juridisch natuurlijk wel iets anders in elkaar.
Ja en nee. Ziggo en KPN zorgen voor een VLAN los van jouw verbinding. Het is in feite dus niet je verbinding. Maar dat is het technische deel.
Nou nee eigenlijk niet. Juridisch is het vrij duidelijk niet jouw netwerk technisch is het dat ook niet.

Router is in bruikleen en dus eigendom van Ziggo/KPN. Jij krijgt een lijntje naar buiten en wifi, overige klanten van ze krijgen ook wifi vanuit jouw woning. Technisch gezien houd jouw zeggenschap en verantwoordelijkheid op bij dat kastje. Je kan in overleg wifi uit laten schakelen, maar dat is het dan ook. Dat netwerk is gekoppeld aan 1 IP adres en dat identificeert jou als klant.
Waarom vermoed je dat dit anders ligt? Volgens de whitepaper gaat er een tunneltje naar Amazon toe via jouw internetverbinding. Ik zou dus zelf denken dat het IP-adres (als er al verkeer verder kan dan naar Amazon) van Amazon is en niet van jou.
Waarom vermoed je dat dit anders ligt? Volgens de whitepaper gaat er een tunneltje naar Amazon toe via jouw internetverbinding. Ik zou dus zelf denken dat het IP-adres (als er al verkeer verder kan dan naar Amazon) van Amazon is en niet van jou.
Het uiteindelijk publiek zichtbare IP adres zal idd niet dat van jou zijn.
Maar het verkeer gaat, net als bij het hosten van een TOR node, wel over jouw verbinding en het is maar de vraag of jij je op de clausules kunt beroepen dat je enkel doorgeefluik bent als er stront aan de knikker komt.
Dit vergelijken net een TOR node is wel heel vergezocht hoor. Een tor node is traffic van anderen dat via jouw verbinding naar buiten gaat, dit lijkt er nieteens op. Je hebt hier traffic van een amazon apparaat naar de amazon servers dat bij jou toevallig via een tunnel gaat, opgezet tussen jouw amazon apparaat en de amazon servers. Er is geen verder internet bij betrokken. Zie het meer als een soort VPN. Jouw hele externe ip is alleen bij Amazon zichtbaar, maar dat is ie toch wel als je een amazon product hebt.
Dit vergelijken net een TOR node is wel heel vergezocht hoor. Een tor node is traffic van anderen dat via jouw verbinding naar buiten gaat, dit lijkt er nieteens op. Je hebt hier traffic van een amazon apparaat naar de amazon servers dat bij jou toevallig via een tunnel gaat, opgezet tussen jouw amazon apparaat en de amazon servers. Er is geen verder internet bij betrokken. Zie het meer als een soort VPN. Jouw hele externe ip is alleen bij Amazon zichtbaar, maar dat is ie toch wel als je een amazon product hebt.
Maakt er helaas niets voor uit dat jij verantwoordelijk geacht wordt voor alles wat er over jouw internetverbinding loopt, incl. VPN tunnels, tenzij jij hard kunt maken dat je je op de zgn. doorgeefluik-clausules in de wetgeving kunt beroepen.

Het grote verschil met bijv. Ziggo hotspots is dat daar het niet jouw internetverbinding is waar de hotspot over loopt. Het is dezelfde fysieke verbinding maar niet hetzelfde IP adres waar verkeer overheen loopt. De hotspots zijn andere logische verbindingen die door Ziggo op diezelfde fysieke verbinding aangeschoven worden.

[Reactie gewijzigd door R4gnax op 26 november 2020 18:33]

Die kosten zijn natuurlijk nihil...

Niet alleen worden hier in Nederland nauwelijks nog abonnementen afgesloten met een data limiet (en is dus de hoeveelheid data die je verstuurt niet van invloed op je rekening), ook is de hoeveelheid data die de Amazon Sidewalk componenten versturen over dat netwerk te verwaarlozen.

Blijft het natuurlijk een vreemde zaak dat je deze "service" niet uit kan zetten. Bij de Ziggo Hotspots kan dat wel.
Blijft het natuurlijk een vreemde zaak dat je deze "service" niet uit kan zetten. Bij de Ziggo Hotspots kan dat wel.
" maar laat gebruikers die via opt-out wel uitzetten."
In Nederland wel. In Amerika heeft een grote provider net aangegeven data-limieten te introduceren. Toevallig nu oud ISP-lobyist Ajit Pai aan het hoofd van de FCC staat.

Daar komt bij dat Verizon 4G thuis-internet aanbiedt wat razend populair lijkt te zijn. Voorlopig nog zonder data-limieten, maar dat was mobiel internet op telefoons ook zo in het begin, en het zou me niet verbazen als dat nog verandert.
sidewalk kan je ook uitzetten begrijp ik..
sidewalk kan je ook uitzetten begrijp ik..
En is dat uit uit; of is dat alles-behalve-onze-eigen-telemetrie uit?
of laat jij je gasten op visite ook per bit afrekenen :+
Ja, behalve het streamen van muziek, dat is gratis. :p
Maar alleen van vooraf geregistreerde muziekaanbieders.

[Reactie gewijzigd door Olaf van der Spek op 26 november 2020 15:51]

KPN weet ik niet. maar Ziggo loopt niet via jouw netwerk. Hel loopt via een afgesloten stuk van de router, en dus NIET via jouw netwerk.

Amazon heeft geen eigen netwerk, dus betalen de kopers van Amazon spul er voor. Laat Amazon dan ook maar betalen voor die data. €50 per maand of zo.
Apple doet dit toch ook al i.v.m. find your device?

Maar als een amazon device dit kan, kan iedereen dit. Ben benieuwd hoe het zit met de aansprakelijkheid i.v.m. wat over je netwerk gaat.

Of zoals een wet in Frankrijks, als je een publieke accesspoint hebt, dat je logging moet bij houden.
Want hierdoor krijg je in theorie een publieke accesspoint.
Best kans dat Amazon die logging voor je regelt ;)
En weer een reden om al die IoT rotzooi links te laten liggen. Verplichte accounts, verplichte Cloud toegang, planned obsolence, big data hoarding, mogelijkheden om lokaal dingen te doen zodat je niet afhankelijk bent van de fabrikant/leverancier zijn er niet of worden dichtgezet.

En nu gaan ze ook lekker onderling mesh-netwerkjes maken met voor jou onbekende devices.

Weg met die zooi met verplichte call-home functionaliteit.

Je gebruiksgemak (alles in de cloud, lekker makkelijk met een App) wordt gekocht met je privacy. (En je portomonnee, als ze besluiten dat na 3 jaar jouw device obsolete is en je geen updates meer krijgt.)

[Reactie gewijzigd door GaMeOvEr op 26 november 2020 15:59]

Eens. Ik heb wel wat, maar alles dat ik heb draait lokaal.
En nu gaan ze ook lekker onderling mesh-netwerkjes maken met voor jou onbekende devices
oncontroleerbare encrypted mesh-netwerkjes :X
In Nederland is het gebruik van de 900 MHz-frequentie voor deze doeleinden niet toegestaan. Aangezien Amazon deze hardware blijkbaar al een tijd lang in haar hardware stopt (bron, lijst met devices), vroeg ik me af of men voor Europa een alternatief heeft zoals de 446 MHz-band waar je maar liefst 500 mW aan vermogen mag gebruiken, licentievrij. Dat lijkt er echter niet op.

Na wat zoekwerk kwam ik op deze blog die het in 2019 aangekondigde Sidewalk al beschreef: https://medium.com/@prajz...al-deep-dive-3e7dd80f0aee

In het kort: het lijkt een LoRa-achtige techniek te zijn, maar Amazon zelf zegt ook dat Bluetooth er deel van uitmaakt. Het lijkt een mix dus. Hoe dan ook staat op de Amazon-website best wel wat uitleg.

Je kunt er zelf voor kiezen of de locatie van elk device bekend is. Zo ja, dan kunnen bijv. buren het gebruiken om een huisdier met "smart halsband" op te sporen. En je kunt in de VS opt-outen. Zo evil lijkt het mij niet, en het lijkt me sowieso niet illegaal. Het maakt bijna niets mogelijk dat nu al niet mogelijk is, maar het lost wel bijv. problemen op voor bepaalde smart devices die nu geen goed bereik hebben via je eigen hubs; dat kan spontaan ineens werken via de hub van je buren :o
Een Europees alternatief kan niet via de PMR446 frequenties, want de apparatuur is (wordt) er vast niet voor type goedgekeurd. Er is trouwens, net als bij 433.92 MHz en 864.2 MHz veel te weinig bandbreedte. Zigbee/ZWave (werkt op 2.4GHz net als wifi) zou wel kunnen. Dat wordt door bijvoorbeeld Philips Hue gebruikt.
Zigbee/ZWave (werkt op 2.4GHz net als wifi) zou wel kunnen.
Zigbee KAN 2.4Ghz gebruiken, maar ook 868Mhz. ZWave gebruikt geen 2.4Ghz, enkel 868Mhz (in Europa)
Toch beetje zelfde wat ziggo doet? ( lichtelijk andere techniek)
https://www.ziggo.nl/klantenservice/wifi/wifispots
Ziggo doet dit vanuit de Connectbox waardoor het verkeer niet via jou eigen netwerk loopt. Het is niet dat de 'Gast' een IP in jou subnet krijgt. Met VLAN's is dit gescheiden.

In het geval van een deurbel / amazon device gaat dit wel via jou netwerk. Dit is een stuk gevaarlijker omdat de device een client is in jou eigen netwerk. Bij fouten in de Amazon device, kan je zomaar toegang krijgen tot het interne netwerk waar de device mee verbonden is.

[Reactie gewijzigd door Stemis op 26 november 2020 15:40]

Dit is een stuk gevaarlijker omdat de device een client is in jou eigen netwerk.
Is dat zo? Lijkt mij niet.. het Amazon device doet de tunneling naar Amazon servers, neem ik aan.
Dat mag ik aannemen, maar ze gebruiken daarvoor wel jouw bandbreedte (en limieten in België) om andere gebruikers te helpen.
Dit zullen ze gegarandeerd doen, echter geeft dit geen zekerheden over wat een Wifi-client op jou netwerk zal gaan doen.

Ik doel vooral op fouten in de firmware. In het meest extreme geval kan je dan als externe, andere acties uitvoeren dan alleen met amazon servers communiceren. In het verleden is dit al vaker gebeurd met Iot devices.

Je vergroot als het ware je 'attack surface' omdat er een device in je netwerk zit die ook communiceert buiten je eigen wifi netwerk om. Ik vind dat dit altijd een keuze moet zijn dmv een Opt-in of Opt-out.

Zoals @Raymond Deen al aangeeft, je moet dan inderdaad bijna een apart netwerk gaan creeeren dat helemaal op slot zit. Denk aan outbound firewall rules etc om te zorgen dat de deurbel alleen maar Amazon servers aanroept.
Bij Amazon betekent het ook niet dat een gast jouw IP krijgt. Misschien dat er 1 encrypted route naar de Amazon servers wordt gelegd om te kunnen communiceren, en that's it. (Dus zonder verdere internettoegang.)
De strekking was natuurlijk ook "Bij fouten in de Amazon device"... je creëert een nieuwe aanvalsvector door allerhande apparaten open te stellen voor externen terwijl deze apparaten (een Echo speaker) ook onderdeel uitmaken van je thuisnetwerk.
Ik begrijp de zorgen, maar ik begrijp ook wel waarom Amazon dit doet.

Ik heb zelf een open WiFI met een buitenantenne waar elke maand honderden mensen verbinding mee maken en vele GBs doorheen jagen. Het zal wel een unpopular opinion zijn, maar de amazon devices van buren die via mij verbinding maken zal me een worst wezen.
Sterker nog, ik heb heeeeeeel af en toe dat ik mijn router moet resetten en dat mijn glasvezel er dan een paar minuten uit ligt. Het zou eigenlijk wel fijn zijn als alles blijft werken op de verbinding van mijn buurman. :P (En al helemaal als de security cams blijven werken..)

[Reactie gewijzigd door Rex op 26 november 2020 16:14]

En deze houding is dus precies waarom dit soort bedrijven er mee weg komen.

Grappig dat je het dan wel over een security cam hebt, die onbeveiligd verbind met andere apparaten in de straat. Leuk als de buurman mee kan kijken naar je vrouw omdat er een bugje in de software zat. Oepsie.

Maar goed, het maakt je kennelijk ook niet veel uit als honderden mensen ilegale dingen (kunnen) doen op jouw verbinding waar jij verantwoordelijk voor gehouden kan worden.

[Reactie gewijzigd door Ethirty op 26 november 2020 17:38]

En daardoor zou je dus eigenlijk een apart netwerk moeten gaan gebruiken, zoals gasten, IoT, etc. voor dit soort devices, zodat ze niet bij jouw interne netwerk kunnen.
Bij Amazon krijg je dat ook niet, mensen komen niet in JOUW netwerk, de apparatuur stuurt het verkeer door. Zal beveiligd zijn...
Zal zeker beveiligd zijn. Echter WPA(1) was ook beveiligd.
Elke beveiliging wordt gekraakt. Alleen wanneer weet je niet.
Zolang niet bekend is welke technieken gebruikt worden om te beveiligen, moet je er al standaard van uitgaan dat de beveiliging niet goed is.

Los daarvan is dit voor mij een extra reden om geen Amazon producten te gebruiken die gekoppeld zijn aan internet.

Ik wil baas in eigen huis blijven en zelf bepalen wie toegang heeft.
In plaats van een opt-out had het een opt-in moeten zijn
"Zal beveiligd zijn" is een gevaarlijk loze kreet als het gaat om data en (Amerikaanse) bedrijven. Ik ga ervanuit dat het op papier beveiligd is, maar dat Amazon & Amerikaanse 3 letter organisaties mee kunnen lezen. Dat mensen die weten hoe het werkt in staat zijn mee te lezen danwel mee te liften en dat vreemde mogendheden dit ook kunnen als ze het interresant vinden. Gezonde paranoia zeg maar als er weer een persbericht de deur uitgaat die roept dat het "veilig" is.
Met toch wel twee belangrijke verschillen:
  • je geeft bij Ziggo zelf hiervoor toestemming;
  • Ziggo maakt zo een deel van het Ziggo-netwerk beschikbaar voor Ziggo-klanten.
In dit geval gaat jouw buurman, die een Amazon-apparaat heeft, gebruik maken van jouw Ziggo- of KPN-netwerk. Er wordt hierboven - terecht - vaak gevraagd of het wel in overeenstemming is met de AVG, maar het lijkt mij dat Amazon hiermee inbreuk maakt op de overeenkomst tussen jou en Ziggo.
je geeft bij Ziggo zelf hiervoor toestemming;
Wat denk je dat Amazon in de voorwaarden / EULA zet?
...Gebruiker geeft Amazon toestemming om het netwerk van diens buurman te gebruiken...
...Amazon zal gebruiker juridisch bijstaan wanneer Ziggo of KPN dit gebruik van hun netwerk in strijd vindt met de algemene voorwaarden...

Die twee in elk geval niet.
Maar wifispots is op router niveau afgeschermd waardoor "vreemden" niet in jouw thuis netwerk kunnen komen. Maar aangezien een Ring deurbel in je thuisnetwerk zit komt er dus vreemd internetverkeer binnen met deze Amazon techniek
Op de RING deurbel ja, niet op jouw wifinetwerk. Die RING deurbel tunnelt het verkeer naar Amazon. Kan zijn dat die beveiliging ooit een keer lek gaat, maar het is niet zo dat er een vreemde op je interne netwerkje zit.
Hoe is dit veilig voor je eigen netwerk? Een beetje Tweaker kan natuurlijk veel blokkeren en firewalls zetten. Maar de gemiddelde buurman weer niet.
En juist daarom willen ze een mesh netwerk opzetten. Als jouw Echo device niet via jouw zwaar beveiligde netwerk zijn data met Amazon kan delen dan doet deze dat wel via de deurbel van vier huizen verderop...
En met data delen bedoel je dan telemetrie waarvan je juist niet wil dat Amazon daar bij kan komen want daarom heb je die firewall rules genaakt. Slimme zet Amazon. I see what you did there.
Maar uiteindelijk is het ook wat jou netwerk wordt benut voor de Amazon services. Het gaat me meer er om. Zodra een Intruder met product van Amazon op het netwerk komt. Het dus ook automatisch op jouw netwerk kan. Aangezien er wat naar Amazon moet gestuurd worden.. en zo dus een aanval kan uitvoeren.

[Reactie gewijzigd door theduke1989 op 26 november 2020 15:39]

En dat kun je dan vervolgens - by design - niet achterhalen, want encrypted...
Dan moet je bijna een soort van hardware switch hebben om er zeker van te zijn dat de devices niet stiekem toch een internetverbinding hebben.
En dat kun je dan vervolgens - by design - niet achterhalen, want encrypted...
Dan moet je bijna een soort van hardware switch hebben om er zeker van te zijn dat de devices niet stiekem toch een internetverbinding hebben.
Een killswitch op het apparaat zelf?
Helpt ook niet. Moet je alsnog kunnen vertrouwen dat de fabrikant het apparaat zo gemaakt heeft dat die switch ook echt alle connectiemogelijkheden van het apparaat killt en niet dat er toch nog een telemetrie-achterdeurtje open blijft.

[Reactie gewijzigd door R4gnax op 26 november 2020 17:54]

Heb jij dan DPI aan staan met man-in-the-middle binnen je eigen netwerk. Want verkeer blokkeren naar Amazon lijkt me een rare zet als je een echo hebt. Of welk ander apparaat dat via Amazon diensten werkt.

Als je dan Amazon blokkeert werkt je apparaat toch überhaupt niet, waarom dan toch kopen?
Zet data deling uit en je bent ook klaar. ;)
Zet data deling uit en je bent ook klaar. ;)
Net als verwijderen van zaken die je niet online wilt hebben ?

set-visibility=zero

Verwijderen / uitzetten is natuurlijk niet aan de orde, maar als je iets niet ziet - bestaat het dan nog ?
Tjonge, zo had ik het nog niet bekeken. Maar inderdaad, zo kunnen ze dus je eigen beveiligde LAN omzeilen. Wat bizar zeg.
Ik weet niet of ik het zo makkelijk kan firewallen eerlijk gezegd. Mijn Echo Spot zit aan de veilige kant van mijn netwerk om zo de domotice te kunnen besturen via HA-bridge. Moet er nu dus een apart subnet omheen zetten zodat ik het apart kan routeren en makkelijk kan gaan firewallen. Wie is Amazon dat ze zomaar mijn hardware als open access point gaan inzetten?

Toen Ziggo dit met haar routers deed zaten ze in ieder geval aan de onveilige kant van mijn firewall, en heb ik het alsnog uitgezet....
Is dit niet tegen de AVG/GDPR wetgeving?
dat de amazon apparatuur zonder toestemming je kunnen volgen, en tracken wat jij en je buren doen?
Dit artikel gaat uberhaupt niet eens over het volgen en/of tracken wat jij en je buren doen.
AVG/GDPR hebben geen relatie met een feature die alleen in de VS uitgerold is. Dat gebruikers de beperking omzeilen door een andere locatie op te geven kun je Amazon niet direct aanrekenen.
dat de amazon apparatuur zonder toestemming je kunnen volgen, en tracken wat jij en je buren doen?
Hoe volgens ze je dan? En waar baseer je je op dat daar niet akkoord mee gegaan is?
Amazon Sidewalk is alleen beschikbaar voor Amerikaanse gebruikers
Misschien dat ze het daarom nog niet in Europa uitrollen, en als ze het wel gaan doen, wordt het wellicht een opt-in feature.
Zag de melding ook voorbijkomen. Deze functie hoef je niet in te schakelen. Hier moet je nu ook nog bewust voor kiezen. Ik zie geen reden om dit wel in te schakelen.

Ik zorg wel voor goede verbindingen in mijn eigen netwerk. De buren hoeven er hier geen profijt van te hebben.
Het gevaar is natuurlijk dat het ineens wel standaard aan staat en opt-out wordt.
Zie ook: "Amazon zet de functie standaard aan voor Echo- en Ring-gebruikers, maar laat gebruikers die via opt-out wel uitzetten."

Dan weet je gewoon dat Jan Modaal die met een Echo of Ring de MediaMarkt uitloopt dit niet uit gaat zetten of weet hoe.

Het schept een precedent dat het normaal is dat een bedrijf zelf ineens een mesh netwerk opzet, niet alleen tussen jouw apparaten, maar tussen al HUN apparaten. Dus de camera van de buren kan ineens over jou verbinding gaan als die toevallig beter signaal krijgt dan de wifi van de buren.

Dit is natuurlijk een enorme rare ontwikkeling qua privacy en eigendomsrecht. Laat staan dat veel mensen in Amerika en ook sommige landen in de EU nog datalimieten op de vaste lijn hebben en dat 500MB ze wel eens kan kosten.

[Reactie gewijzigd door ApexAlpha op 26 november 2020 16:06]

Is dit niet tegen de een paar privacy wetten/regels? Lijkt me toch raar dat Amazon zoiets bedenkt en vervolgens toch willen uitbrengen en je privacy even een flink deel weg is.
en je privacy even een flink deel weg is.
Wat gebeurd er dan volgens jou wat je privacy ondermijnd?
Voor als nog niet nee. Ze rollen dit enkel in Amerika uit op accounts die in America geregistreerd staan. Dus ze hebben niet met de Europese AVG van doen. Tenminste niet totdat ze actief dit gaan uitrollen naar Europese accounts.
Het is feitelijk niet anders dan wat Ziggo en KPN op hun routers doen.
Klanten helpen aan een beetje data. gescheiden verkeer, dus je hebt er geen last van. (en kunt het uitzetten)
Amazon zet de functie standaard aan voor Echo- en Ring-gebruikers, maar laat gebruikers die via opt-out wel uitzetten.
Dit soort dingen zouden natuurlijk opt-in moeten zijn ipv opt-out.
Dit soort dingen zou verboden en onmogelijk moeten zijn.
Waarom verboden?
Ik ben het er mee eens dat een opt-in een betere oplossing is, maar als mensen zelf expliciet goedkeuring willen geven om hun bandbreedte te delen, waarom zou dat verboden moeten worden om zo een mesh netwerk te creeren?
Eens, maar dit is natuurlijk een gevolg van US-based bedrijven die doorgaans een omgekeerde constructie kennen (opt-out ipv opt-in), als het al wordt aangeboden.
Ik heb het bekeken op mijn Alexa devices met scherm, en het is opt-in. Op mijn Echo en Echo Dot kan ik wel niet zien of het opt-in of opt-out is.

Maar ik heb een ander problem: ik ben geen IT-oen. En toch begrijp ik niet helemaal wat Sidewalk is en waarom ik het zou moeten aan zetten. Ik versta niet wat ik erbij te winnen heb.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True