Minderheid in Nederlandse steekproef smarthomeapparaten kreeg updates

Een minderheid van de smarthomeapparaten in een steekproef van in Nederland populaire smarthomeapparaten kreeg updates, zo melden toezichthouder Autoriteit Consument & Markt en de Rijksinspectie Digitale Infrastructuur.

Voor ACM en RDI onderzochten Dialogic en Creds vijftien smarthomeapparaten, waaronder drie lampen, drie wasmachines, drie babyfoons, drie tv's en drie thermostaten. De bedoeling was om het beeld uit 2022 te controleren dat bepaalde apparaten geen updates kregen.

Dat beeld bleek te kloppen. Van de vijftien apparaten kreeg er één wel een update sinds 2022, terwijl dat daarvoor niet het geval was. Enkele van de vijftien apparaten kregen juist geen updates meer, terwijl ze die daarvoor wel ontvingen. Een van de thermostaten bleek niet overdraagbaar en daarvan is dus geen data bekend. Een van de wasmachines kon wel updaten, maar die update slaagde niet.

Van de vijftien apparaten kregen er zes een update tussen juni 2022 en oktober 2023. Volgens de ACM en RDI schort het niet alleen bij fabrikanten aan het updatebeleid, maar geven ze ook rond de aankoop te weinig informatie over de duur van de ondersteuning die klanten kunnen verwachten.

Apparaat	Updates tot juni 2022	Updates tot oktober 2023
Babyfoons	Babyfoon 1: Nee Babyfoon 2: Nee Babyfoon 3: Nee	Babyfoon 1: Nee Babyfoon 2: Nee Babyfoon 3: Nee
Lampen	Lamp 1: Nee Lamp 2: Ja Lamp 3: Nee	Lamp 1: Nee Lamp 2: Ja Lamp 3: Ja
Televisies	Tv 1: Ja Tv 2: Ja Tv 3: Ja	Tv 1: Ja Tv 2: Ja Tv 3: Nee
Thermostaten	Thermostaat 1: Ja Thermostaat 2: Nee Thermostaat 3: Ja	Thermostaat 1: Nee Thermostaat 2: Onbekend Thermostaat 3: Nee
Wasmachines	Wasmachine 1: Ja Wasmachine 2: Ja Wasmachine 3: Ja	Wasmachine 1: Ja Wasmachine 2: Ja Wasmachine 3: Kon niet worden geïnstalleerd

Reacties (64)

Cilph 4 maart 2024 10:26

Is dit niet een beetje nutteloos zonder een constatering dat deze apparaten daadwerkelijk updates nodig hebben?

Xand3r @Cilph • 4 maart 2024 10:29

Dat lijkt mij ook. Op een gegeven moment werkt een apparaat goed en dan heeft het geen updates meer nodig.

Een lamp moet aan en uit gaan. Als dat goed werkt, dan zijn updates niet meer nodig.

[Yellow] @Xand3r • 4 maart 2024 10:35

Tsja, dat ligt er helemaal aan: als het IoT apparaat verder geen enkele internet verbinding maakt en enkel op lokaal verkeer reageert dan zijn updates niet nodig voor beveiliging.
Maar zodra het apparaat a) server functies heeft die bereikbaar zijn via Bluetooth of andere (openbare) draadloze netwerken, of b) contact legt met servers op het internet dan zijn beveiligingsupdates toch echt noodzakelijk.

Helaas werken de meeste IoT apparaten zodanig dat ze altijd een of andere cloud verbinding nodig hebben en zijn updates dan ook hard nodig!

dabronsg @[Yellow] • 4 maart 2024 11:12

Het lastige is dat wanneer jouw netwerk met Internet verbonden is elk apparaat binnen het netwerk (indirect) aan Internet gekoppeld is. Jouw IoT apparaat kan alleen op lokaal verkeer reageren, maar hoe is het als een lokaal apparaat gecompromitteerd is? Of jouw Router? En hoe bepaald jouw IoT device wat lokaal is en wat niet.

Als een apparaat kwetsbaarheden heeft moeten die gepatched worden. En anders is het niet slim om het apparaat in een netwerk te hangen dat aan Internet hangt.

[Reactie gewijzigd door dabronsg op 23 juli 2024 11:16]

[Yellow] @dabronsg • 4 maart 2024 11:23

Ja, daar heb je zeker goede punten. Een aparte gefirewallde VLAN (en alleen dat) zou dat op moeten lossen.

Triblade_8472 @[Yellow] • 4 maart 2024 19:32

Is dat zo?

Als een apparaat te benaderen is, is deze hackbaar. Als een (web)interface een bug heeft kan je die benutten.

Of dat achter een gefirewallde vlan zit of niet, benaderbaar is benaderbaar.

Een firewall en vlans maken iot apparaten echt niet veiliger hoor, zolang de toegang open blijft veranderd er niks.

Al zet je 40 sloten op je achterdeur, als je voordeur uit stro bestaat wordt die zo omver geblazen.

[Yellow] @Triblade_8472 • 5 maart 2024 11:14

Met een firewall kun je prima toegang ontzeggen. En daarmee of een apparaat benaderbaar is.
Juist omdat benaderbaar == hackbaar is een firewall daavoor een prima oplossing.

Triblade_8472 @[Yellow] • 5 maart 2024 18:28

Als je 100% van de ingangen dicht, heb je niks aan het apparaat. Er is altijd een ingang.

R4gnax @[Yellow] • 4 maart 2024 19:35

Het is wachten op de eerste routerbouwers die in het consumentensegment komen met een laagdrempelige VLAN oplossing.

Asus was al langere tijd ergens mee bezig, maar dat is nog steeds in betà, maar dan houdt het al heel snel op. Volgende stapje omhoog is een edge-router waar je fysiek gescheiden subnets hebt die elke LAN port apart houden en vervolgens alles van elkaar af gefirewalled houden. Dat wordt al dermate complex dat de gemiddelde Henk & Ingrid afhaken.

We moeten allemaal kampen met de security shit-storm van slechte IoT apparaten, maar degelijke middelen om risico te dempen, zijn eigenlijk voor leken niet voorhanden. Dat is wellicht het allergrootste probleem met IoT meuk - nog veel groter dan het feit dat oudere apparaten al snel geen updates meer krijgen.

Juist hier had het de EU gesierd om met wetgeving een oplossing te forceren. De techniek is er al lang, alleen fabrikanten willen er gewoon niet in investeren om het gelikt en consument-geschikt te maken. Ook omdat het een feature is waarvoor small-business vaak extra bereid is te betalen voor profesionelere apparatuur.
Maar als de EU kan afdwingen dat elke telefoon een USB-C poort moet hebben om mee op te laden, dan kunnen ze ook afdwingen dat elke router een geschiktte implementatie heeft om intern netwerk; en IOT-meuk netwerk gescheiden te houden. (En dan bedoel ik niet met een gasten Wifi-netwerk, zoals bjiv Asus en TP-Link doen; want dat is ook maar een half-oplossing.)

[Reactie gewijzigd door R4gnax op 23 juli 2024 11:16]

Coffee @Xand3r • 4 maart 2024 10:32

Veiligheidsupdates.

Cilph @Coffee • 4 maart 2024 10:47

Dan moet je nog steeds constateren dat er exploits aanwezig zijn die gefixed moeten worden.

jaapzb @Cilph • 4 maart 2024 11:16

Het is niet de vraag of, maar wanneer exploits gevonden worden.

jorisvergeerTBA @jaapzb • 4 maart 2024 17:10

Dat hangt af van hoe complex je software is.

Als de complexiteit van je software beperkt is, en je gebruikt een http/mqtt stack die gewoon simpel is gebleven zonder allerlei toeters en bellen dan kan het best zijn dat er geen updates nodig zijn. Zeker in de embedded wereld waarin er uberhaupt iets meer aandacht besteed word aan dat software goed is, want updates zijn lastiger.

Zelfs als je stelt dat de SSL certificaten verlopen, ook dan heb je decennia voordat gebruikte root certificaten verlopen. En ook in dat geval zou de fabrikant voor communicatie met zijn servers een self signed certificaat kunnen gebruiken met lange geldigheid.

[Reactie gewijzigd door jorisvergeerTBA op 23 juli 2024 11:16]

Triblade_8472 @jorisvergeerTBA • 4 maart 2024 19:34

Is dat zo?

Noem 1 stuk software die gegarandeerd 100% bugvrij is.

Daarnaast, als de root CA misbruikt of gehacked is en die trekken ze in, wat dan? Het is eerder voorgekomen!

Daarnaast kunnen browsers zelf ook nog besluiten bepaalde CA's of intermediates niet meer te vertrouwen. Als Google, Mozilla en Microsoft dat doen, ben je net zo gedoemd alsof die CA ingetrokken is.

[Reactie gewijzigd door Triblade_8472 op 23 juli 2024 11:16]

pieterhi @jorisvergeerTBA • 5 maart 2024 23:14

Wanneer een root certificaat gecomprimeerd is, zou je de oude niet meer willen gebruiken. Dat kan je alleen regelen met een update van het apparaat.

Wouterie @jaapzb • 4 maart 2024 19:16

Zeker, maar als er geen patch beschikbaar is dan valt er weinig te patchen. Dit onderzoek richt zich niet op de mate waarin bekende kwetsbaarheden nog aanwezig zijn in nog ondersteunde apparaten. Maar puur op het wel of niet hebben van een update.

jaapzb @Wouterie • 5 maart 2024 08:33

Dat snap ik wel, maar ik denk dat je de aanname wel kan maken dat er - als je ook maar iets met netwerken en internet doet, ook op "simpele" IoT devices - er vroeg of laat altijd een patch nodig zal zijn.

Kriekel @Xand3r • 4 maart 2024 10:33

Het belang zit hem in beveiliging updates. Het zou toch jammer zijn als je thermostaat mee doet aan een ddos, of als een hacker het leuk vind om alle gehackte thermostaten op 40 of juist 0 graden te zetten.

OruBLMsFrl @Kriekel • 4 maart 2024 14:11

Het zou wat zijn, een hackersgroep 3c0h4ck3rs die alle thermostaten die ze tegenkomen op het overheidsadvies van 17 graden zet. Begint als een goedbedoeld verhaal, maar is toch in sommige gevallen heel irritant. Dus ja, die updates zijn wel nodig. Anders krijg je eerst een aanpassing naar 17, en dan als het twee uur in temperatuur gedaald is, plots een instelling van 24 graden waardoor al die huizen tegelijk maximaal aan het net gaan trekken. Dat kan genoeg zijn om het EU stroomnet omver te trekken, als er straks miljoenen huishoudens met hackbare warmtepompen van 7-15kW zouden staan. Als die steeds netjes moduleren weinig aan de hand, maar alles in sync op één moment naar de max, dat zou echt misgaan ergens qua onbalans in het net.

Militia Pilot

@Xand3r • 4 maart 2024 10:33

Er wordt aan de lopende band kwetsbaarheden ondekt bij smarthome apparaten, dus updates zijn echt wel nodig, anders is straks elk netwerk met SH devices zo lek als een mandje.

Veel van dit soort apparaten stuurt ook data door naar de fabrikant, en ook dat kan misbruikt worden als dat niet veilig gebeurt.

[Reactie gewijzigd door Militia Pilot op 23 juli 2024 11:16]

DieMitchell

@Xand3r • 4 maart 2024 10:35

lamp moet meer als uit en aan
helderheid moet ook veranderd kunnen worden en evt tint/kleur. sommige lampen moeten samen kunnen werken in een "scene", met andere apparaten/apps, etc.

THETCR @Xand3r • 4 maart 2024 10:37

Zo werkt het helaas niet.
Net als met al het andere in de wereld, wanneer men het niet onderhoudt treed er verval op.

lenwar

Nederland

@Cilph • 4 maart 2024 10:59

Op zich heb je een punt, maar je kunt er redelijkerwijs vanuit gaan, dat alles met een IP-adres beveiligingsupdates nodig heeft. Al die 'slimme' apparaten hebben een besturingssysteem draaien. Heel veel van die apparaten gebruiken iets als Android of minimaal bibliotheken van bijvoorbeeld OpenSSL, een één of andere webserver, enz.
Helemaal niets ten nadele van die voorbeelden (ik probeer niets te bashen), maar dat betekend gewoon dat er exploits gevonden worden en dus bestaan. Dat is een vrijwel 100% zekerheid.

Dit is, wat mij betreft, in elk geval een hele goede reden om zo min mogelijk slimme apparaten met het internet te verbinden. Neem in vredesnaam iets dat communiceert via Zigbee, Threat, Z-wave, enz. Dan heb je in elk geval maar één apparaat (de controller) die met het internet verbonden is. (uiteraard ook niet noodzakelijk, maar even voor het idee).

Ik heb hier in huis echt mijn wasmachine/droger/oven/enz. niet op de wifi gezet. Los van dat ik het nut maar beperkt vindt, heb ik er gewoon geen vertrouwen in dat die apparaten afdoende worden gepatched door de fabrikranten.

_eLMo_

@lenwar • 4 maart 2024 11:36

Alles met een MAC adres cq verbindingsmogelijkheden. Gezien er bijvoorbeeld recentelijk beveiligingsproblemen in Bluetooth gevonden zijn die liggen aan de vorm van cryptografische versleuteling die waarschijnlijk niet met een software update opgelost kan worden.

Dingen zoals Zigbee zijn natuurlijk uitermate kwetsbaar, ze zijn gemaakt om in een mesh te fungeren, bij misbruik van kwetsbaarheden zou dit dus over kunnen springen van "huis op huis" dat apparaten met dit protocol heeft.

"Niet op wifi zetten" is eigenlijk niet voldoende, gezien de wifi chip (bij een slechte implementatie) nog steeds gewoon aan staat.

[Reactie gewijzigd door _eLMo_ op 23 juli 2024 11:16]

Commendatore

@_eLMo_ • 4 maart 2024 14:19

Leuk voorbeeld: een Alecto WS-5500 (weerstation). Als je dat niet met je netwerk verbindt, dan blijft het vrolijk zijn installatie-SSID uitzenden. En die installatieprocedure is dan ook nog eens erg rommelig en behoorlijk onveilig ingericht.

jorisvergeerTBA @lenwar • 4 maart 2024 17:22

Het valt heel erg mee hoeveel OS je nodig hebt om een IP netwerk stack te draaien.

Neem bijvoorbeeld de bekende Arduino varianten met WiFi of ethernet. Daar draait allemaal geen linux of windows op. En naast Arduino heb je veel microcontrollers die zoiets kunnen. Het ESP32 platform bijvoorbeeld. Dat is ook een bekende en veelgebruikte.

Veel IOT dingen zijn niet complexer dan dat.

Met een paar KB aan programma code en een paar KB ram voor buffers, kom je al heel ver. Kijk bijv eens naar LwIP. Een volwaardige open source IP stack die veel gebruikt word.

En ik zal niet claimen dat LwIP nooit een issue heeft gehad. Maar als je in de CVE database kijkt, dan vind je er maar 3. Waarvan de impact ook nog eens zeer beperkt was.

Die 100% garantie dat er in elke software altijd ooit een exploit gevonden gaat worden is een fabel.
Het is enkel een relevante gedachte voor security beleid, dat je er vanuit dat oogpunt uit gaat van dat elk apparaat een risico kan zijn. En ook daarin moet je als security officer een balans zien te vinden tussen wat aanvaardbaar risico is en een werkbare omgeving.

[Reactie gewijzigd door jorisvergeerTBA op 23 juli 2024 11:16]

sprankel @Cilph • 4 maart 2024 12:29

Zelfs al heb jij de software perfect gemaakt;
Zelfs al heb jij de software compleet bug vrij gemaakt;

Dan nog heb je updates nodig om certificaten, root certificaten, encryptie algortimes en wachtwoorden/keys aan te passen.

Al was het maar om te verhinderen dat iemand zich kan uitgeven voor jou smart toestel update server en daarbij een valse update kan pushen naar je toestel.

Cilph @sprankel • 4 maart 2024 12:33

Ik zeg niet dat apparatuur geen updates nodig kan hebben. Ik zeg dat de bevinding alleen nuttig is als je weet dat een apparaat updates nodig had in dat tijdsvenster.

_eLMo_

@Cilph • 4 maart 2024 14:45

Ik kan je met aan zekerheid grenzende waarschijnlijkheid zeggen dat elk product uit de fabriek al updates nodig heeft.

De tijd dat het product geproduceerd is (of de firmware gecompileerd is met de laatste updates) tot de tijd tot het bij jou “aan” staat is voldoende dat er minstens 4 vulnerabilities gevonden zijn.

Lijkt me dus nutteloos om geld te besteden aan onderzoek welke updates relevant waren. Als er helemaal geen updates waren loop je sowieso achter.

[Reactie gewijzigd door _eLMo_ op 23 juli 2024 11:16]

jorisvergeerTBA @_eLMo_ • 4 maart 2024 17:53

Dat vind ik nogal een claim dat elke firmware vanaf de fabriek binnen 4 maanden altijd al 4 vulnerabilities zou hebben.

Zeker van de simpelere IOT apparaten is het heel goed mogelijk dat ze gewoon goed ontwikkeld zijn zonder exploiteerbare vulnerabilities.

Tot nu toe heb ik nog geen CVE lek gevonden van een wasmachine.

_eLMo_

@jorisvergeerTBA • 4 maart 2024 18:18

Omdat de wasmachine geen lek heeft (pun intended), of omdat men geen flauw idee heeft welk os erop draait met welke drivers en software packages?

jorisvergeerTBA @_eLMo_ • 4 maart 2024 18:47

De software in je wasmachine bestaat over het algemeen niet uit een OS zoals je gewend ben (Windows,Linux,Android, etc.). Daar heb je het ook niet over een mix van software packages en drivers die jij of de fabrikant erop kan installeren.

Je hebt meer te maken met een software programma dat gewoon bij instructie 1 in het geheugen begint in dan zijn ding doet. Daarbij kent de software alleen de interne MCU componenten en de specifieke chips in de wasmachine.

Allemaal veel simpeler en minder complex dus dan alle toeters en bellen van software van een paar dozijn aan third party fabrikanten dat allemaal een beetje samen moet werken op een consumenten OS.

Veel IOT apparaten zijn ook gewoon gebouwd op een kleine MCU met maximaal 1MB flash en 256kb RAM. Dus je hebt ook niet de luxe om complexe software erin te bouwen. Een industrie beproefde standaard minimale IP/netwerk stack is niet ingewikkeld en hoeft niet per definitie onveilig te zijn, want het heeft gewoon weinig aanvals oppervlak, en wat er al is, is met veel zorg ontwikkeld door de jaren heen.

4tro @jorisvergeerTBA • 5 maart 2024 08:56

Dit gaat over wasmachines met WiFi, en hippe schermen en features. Niet over een wasmachine die enkel een wasprogramma afdraait

jorisvergeerTBA @4tro • 5 maart 2024 10:29

Zelfs die hebben minimale software nodig om functioneel te zijn.

Nog steeds heb je geen linux of nodig om wifi of een touch screen aan te sturen.

RiDo78 @Cilph • 4 maart 2024 10:48

Definieer nodig...

Een apparaat zal het zonder updates vaak prima blijven doen. Zeker als het zelf geen verbinding met internet maakt. Dus een lamp die je met zigbee of bluetooth aanstuurt zal minder kwetsbaar zijn dan een lamp op wifi. Daarom lijkt het logisch dat een zigbee of bluetooth lamp geen updates zal krijgen.

En toch, kan en een kwetsbaarheid zitten in de zigbee of bluetooth stack die iemand in staat stelt om de controle op die lamp over te nemen en misschien zelfs het hele zigbee of bluetooth netwerk binnen te dringen. En misschien is de zigbee-gateway op die manier wel gemakkelijk te voorzien van malware, want wie verwacht nu een aanval over het zigbee netwerk?! Bovendien zit je met het lokale aspect van Zigbee waardoor je niet zomaar een dergelijke aanval kunt uitvoeren. Dus hoe 'nodig' is het om deze lampen aan een pentest te onderwerpen? Hoe 'nodig' is het om kwetsbaarheden in een zigbee of bluetooth lamp op te sporen en te patchen? Nee, met de komst van Thread en Matter is het aannemelijk dat men het 'nodig' vind om ondersteuning daarvoor in te bouwen dan om kwetsbaarheden op te lossen. Pas als blijkt dat er een worm de kop op steekt die hele zigbee-netwerken onklaar maakt zal men daar eens naar gaan kijken.

Maar maakt het deze test dan compleet nutteloos? Zonder context geef ik je gelijk. Maar het feit is wel dat fabrikanten liever geen updates uitbrengen voor apparaten, ze verkopen liever nieuwe. Dus een beetje media-aandacht voor het feit dat er geen updates meer uitkomen is louter positief. Dat gaat dan meer om awareness te kweken bij het publiek en op die manier de opinie van mensen een beetje te beinvloeden, in de hoop dat de fabrikanten eens volgen. Maar het kan ook een basis zijn voor nieuwe wetten en regels met betrekking tot (de veiligheid van) slimme apparaten.

Alxndr

4 maart 2024 10:27

Handig, zo zonder merken en modellen? Ik bedoel, dit is toch een algemeen bekend probleem?

Ligt het aan mij of is naming en shaming iets wat te vaak uit de weg wordt gegaan? Waarom zou je een fabriekant die slechte ondersteuning geeft niet publiekelijk aan de schandpaal nagelen?

[Yellow] @Alxndr • 4 maart 2024 10:38

Yep, en dat komt omdat alle beloningen de verkeerde kant op werken: lever een supergoedkoop apparaat zonder updates, dan win je het altijd op prijs.
Maak je als fabrikant een apparaat dat wél updates krijgt en, bijvoorbeeld, een processor gebruikt die de betere security algoritmes ondersteunt dan kun je het nooit winnen (op prijs) van die andere fabrikant.

De enige manier om dit goed te krijgen is dan ook regelgeving (helaas).

[Reactie gewijzigd door [Yellow] op 23 juli 2024 11:16]

Alxndr

@[Yellow] • 4 maart 2024 10:48

Nou ja, of dus gewoon bedrijven keihard aan de schandpaal nagelen zodat mensen hun eigen conclussies trekken?

Als ze hier in dit onderzoek nu gewoon merk en type noemen, weten we welke merken in ieder geval niet te kopen. Als dit dan wat bekendheid krijgt, zullen bedrijven gaan adverteren met de ondersteuningsduur in koeieletters op de doos?

Ik ben in theorie voor dit soort producten te verbieden, maar een verbod kost over het algemeen heel veel tijd en geld (en leidt er toe dat men de regeltjes gaat ontwijken ipv de gedachte er achter toe gaan passen?)

[Yellow] @Alxndr • 4 maart 2024 11:02

Met regelgeving bedoel ik voornamelijk certificering. Je zou het bijvoorbeeld zoals CE uit kunnen voeren: iedere fabrikant mag zichzelf certificeren maar als bij (steekproef) controles blijkt dat je er niet aan voldoet volgt een boete.

Alxndr

@[Yellow] • 4 maart 2024 11:22

Voor mij is een certificaat een bewijs van een bestaande eigenschap?

Je kunt iets pas certificeren als het getest is en je kunt niet testen of iets in de toekomst updates gaat krijgen?

Bovendien, wil je CE als voorbeeld noemen? Dat stelt toch ongeveer niets voor en wordt bovendien massaal misbruikt (of is dat de laatste jaren verandert?)

[Yellow] @Alxndr • 4 maart 2024 11:41

Certificering dat het (op dit moment) veilig (genoeg) is lijkt mij prima.
Daarnaast een minimum eis van update beleid en dan kom je volgens mij al een heel eind.

En CE werkt volgens mij behoorlijk goed, alle bedrijven waar ik ooit gewerkt heb lieten CE keuringen uitvoeren. Waar heb jij gelezen dat het massaal misbruikt wordt? (Aliexpress mag je niet meetellen!)

Alxndr

@[Yellow] • 4 maart 2024 12:31

Ook, 'massaal' is misschien overdreven, en het zijn volgens mij juist bedrijven als Aliexpress (of die via Aliexpress verkopen) en dropshippers die hier misbruik van maken?

Waar ik aan refereerde was geloof ik een uitzending van "de keuringsdienst van waren" jaren geleden, maar het zou ook dit kunnen zijn.

Googlen geeft mij dit als iets recenter voorbeeld.

GoldenSample @[Yellow] • 4 maart 2024 16:15

(Gerenomeerde) Europese bedrijven gaat meestal wel redelijk okee inderdaad. Ga je echter in een relatief nieuwe booming markt wordt het al iets heel anders.

In de wereld van laadpunten van electrische autos heb ik alles gezien; Europese bedrijven die, onbedoeld, grote steken lieten vallen (al dan niet uit onkunde) of bewust wegkeken. Heb bij een niet westerse fabrikant zelf getuige mogen zijn van het moedwillig onterecht creëren van een CE declaratie. Daar was ik dan ook heel snel weer weg.

lenwar

Nederland

@Alxndr • 4 maart 2024 11:02

Omdat je dan vrijwel alle fabrikanten op die lijst kunt zetten. Kijk naar het overzicht. Ze kijken op een moment per jaar. Kijk naar een smart-TV. Er zijn een paar fabrikanten die maandelijks een update uitbrengen voor hun 'hoogste modellen', maar het ondersegment en zeker na een paar jaar is het afzien.

Je bent in de praktijk beter af met een goed-ondersteund Apple TV of Google TV kastje, dan dat je maar moet hopen dat LG/Samsung/enz. goed (genoeg) patchen.

pk128934 4 maart 2024 10:29

Geen updates betekent natuurlijk helemaal niets. Beter een onderzoek naar vulnerabilities en checken of die gedicht worden of niet. Onzinnig werk weer van de ACM.
Updates voor functionaliteiten is onzin om mee te wegen. Als consument koop je in beginsel een apparaat dat iets doet op het moment van de koop. Je vaatwasser moet de vaat wassen. Als hij later ook je stropdas kan strikken is dat mooi, maar geen consumentenrecht.

Zer0 @pk128934 • 4 maart 2024 10:37

Persoonlijk vind ik het ook een erg beperkt rapport. Geen updates hoeft geen probleem te zijn, als er geen (beveiligings-) issues zijn die opgelost moeten worden.

Cergorach @pk128934 • 4 maart 2024 10:46

Geen updates betekent natuurlijk helemaal niets. Beter een onderzoek naar vulnerabilities en checken of die gedicht worden of niet. Onzinnig werk weer van de ACM.

Dan vraag ik me als eerste af, hoe is de vulnerabilities melding situatie voor doorsnee smarthome producten? Ik ben thuis in IT land met vulnerabilities op software en hardware, daar zit enige overlap met consumenten producten, maar dat is nog steeds voornamelijk computers, smartphones, tablets en netwerk apparatuur. Babyphones en wasmachines valt een beetje buiten mijn kennisgebied.

Want als dat prut is, dan kan je kijken of er vulnerabilities zijn, maar als ze amper worden gemeld en al helemaal niet centraal worden geregistreerd, dan schiet je er nog niets mee op...

The Realone @pk128934 • 4 maart 2024 13:48

Nouja, je hoeft geen expert te zijn om te weten dat er vulnerabilities in zitten waarvan een veelvoud al ontdekt is en een deel nog ontdekt moet worden. Dus de vraag "of" er vulnerabilties inzitten lijkt me eenvoudig beantwoord. En ten slotte kunnen deze alleen gepatched worden d.m.v. een update.

Militia Pilot

4 maart 2024 10:28

Betreft dit alleen feature-updates of ook beveiligings-updates?

_eLMo_

@Militia Pilot • 4 maart 2024 11:33

In het domotica-rapport doen de onderzoekers onder meer de aanbeveling om het
updatebeleid van de domotica-apparaten over een langere tijd (bijvoorbeeld één of
twee jaar) te onderzoeken. Dan kunnen met een hogere zekerheid uitspraken
worden gedaan over de consistentie van het updaten na het bekend worden van
beveiligingszwakheden. Naleving van het recht van consumenten op levering van
updates is een van de verplichtingen waar de ACM op toeziet.
In navolging hiervan hebben RDI en ACM besloten dat RDI onderzoekt of de
apparaten na het beëindigen van het Dialogic-onderzoek door Dialogic en Creds nog
updates hebben gekregen. Dit onderzoek ziet op de periode 30 juni 2022 tot 28
september 2023

Ze hebben puur gekeken naar of er uberhaupt een update was, niet wat daar dan precies in zat.

[Reactie gewijzigd door _eLMo_ op 23 juli 2024 11:16]

qlum

4 maart 2024 11:24

Leuke steekproef, maar zegt natuurlijk niet alles.
Updates zijn een indicator, maar niet alles zeggend. Een apparaat zou updates kunnen krijgen maar beveiligingsproblemen niet oplossen, dat kan bijvoorbeeld een licentie bump zijn van een jaar.
Aan de andere kant kan het best goed dat er in een jaar geen relevante exploits zijn met betrekking tot het apparaat, of met een zeer lage impact.

WORPspeed 4 maart 2024 10:26

Ligt t aan mij of is dit ook een veel te kleine steekproef?

Ik verwacht niet dat de resultaten er heel anders uitgaan zien, maar lijkt me toch bijzonder weinig apparaten om te testen

Cergorach @WORPspeed • 4 maart 2024 10:31

Ja en nee, als dit de drie meest verkochte devices in elke categorie zijn, dan geeft dat best een goed inzicht. Wellicht niet van alle smarthome devices, maar wel over de smarthome devices die het meest verkocht zijn (en dus in gebruik).

WORPspeed @Cergorach • 4 maart 2024 15:58

Als de 3 meest verkochte apparaten net 1 meer verkochten dan de 97 daaropvolgenden dan is het alsnog niet zo representatief voor de markt als geheel.

Maar dat zal wel niet zo zijn, dus ik geloof je punt wel. Maar zonder naam is het niet te checken of dat het geval is en zou een steekproef niet random moeten zijn? Stel dat alleen de top 3 t juist heel slecht doet, dan zou dit rapport een vertekend beeld geven van de markt als geheel wanneer de rest van de apparaten wel vaker updates krijgen (en mede daardoor duurder zijn en dus minder verkocht worden)
What-if verhaaltje, maar blijf mijn bedenkingen hebben bij dit rapport zo

NatteKrant 4 maart 2024 10:32

Inderdaad dit dus.

In dit artikel/onderzoek lijkt het "updaten" een doel op zich te zijn geworden. Updaten is slechts een middel, en zoals jij al aangeeft blijkt uit dit artikel nergens dat een reden of noodzaak was. Ik sluit het niet uit, maar duidelijk wordt het nergens.

wvdburgt 4 maart 2024 10:39

Wanneer wij het alarm systeem uitfaseren is dit wel iets om aan te denken. Niet iedereen kan dus hun telefoon updaten. En dan willen we iedereen afhankelijk maken van een mobiele telefoon? Niet zo'n slim idee dus.

Accretion @wvdburgt • 4 maart 2024 11:25

Je bedoelt NL-Alert?

Maar ja, ook niet iedereen woont in de buurt van of hoort het luchtalarm, 100% dekking gaat toch lastig worden.

Updaten kan wel, door een nieuwe te kopen en/of bij de aankoop te kiezen voor een merk dat wel een passend updatebeleid heeft.

Overigens valt de impact van je telefooon niet updaten m.b.t de werking van NL-Alert wellicht mee, zeker als het systeem al een tijd in werking is.

wvdburgt @Accretion • 4 maart 2024 11:52

Dat ja. We laten ons weer heel afhankelijk worden van techniek daarmee. Ik heb het iig uitgezet omdat het batterij slurpt. Ook raken batterijen van telefoons op. Het is ook regelmatig zo dat bij stroomuitval de zendmasten het ook niet meer doen. Het kost een paar miljoen hoorde ik maar een flinke stap achteruit. Je zou ook nog kunnen zeggen dat in dun bevolkte gebieden (zijn die er dan in Nederland?) dat er ook veel lager risico is.

pox 4 maart 2024 10:47

… waaronder drie lampen, drie wasmachines, drie babyfoons, drie tv's en drie babyfoons.

Extra veel nadruk op de babyfoons (volgens mij een klein foutje)

Dreamvoid 4 maart 2024 10:53

ander punt: worden die updates automatisch geinstalleerd, of moet de gebruiker voor elk apparaat zelf nieuwe firmware downloaden en de update starten?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (64)

Sorteer op:

Weergave: