KU Leuven: browsers in tv's en auto's vaak onveilig door gebrek aan updates

Ingebedde browsers in apparaten zoals televisies, auto's, gameconsoles en e-readers zijn vaak al bij verkoop flink verouderd en krijgen weinig of zelfs geen updates. De browsers vormen daarmee een beveiligingsrisico voor gebruikers, concludeert de KU Leuven uit eigen onderzoek.

Onderzoekers van de Belgische universiteit onderzochten 53 verschillende consumentenproducten, uiteenlopend van tablets en e-readers tot smart-tv's, gameconsoles en auto's. Het gaat om apparaten die 'geen conventioneel desktop- of mobielbesturingssysteem draaien, zoals iOS of Windows'. De bevindingen tot nog toe zijn volgens de onderzoekers 'problematisch'. "Veel ingebedde browsers zijn zwaar verouderd, slecht onderhouden, en stellen gebruikers bloot aan significante beveiligingsrisico's."

Bij veel producten bleek de ingebedde browser bij levering al gebaseerd op een verouderde versie. In sommige gevallen liep het verschil met actuele browsersversies op tot meer dan drie jaar, ontdekten de onderzoekers. "Fabrikanten zijn niet transparant en geven zelfs misleidende informatie", aldus de onderzoekers. Zij constateerden dat sommige fabrikanten wel adverteren met gratis beveiligingsupdates voor hun toestellen, maar dat die bedrijven de ingebedde browser niet van beveiligingsupdates voorzien.

De onderzoekers van KU Leuven stellen dat het voor consumenten vaak moeilijk of zelfs onmogelijk is om na te gaan of de ingebedde browser van een apparaat beveiligingsupdates ontvangt. De onderzoekers bieden gebruikers een testmogelijkheid om de ingebedde browser in hun apparaten te controleren. De data uit die CheckEngine wordt geanonimiseerd en gebruikt in de voortzetting van dit onderzoek.

"In de praktijk zouden ingebedde browsers met extreme voorzichtigheid moeten worden gebruikt − en in sommige gevallen geheel worden vermeden", aldus de conclusie van het onderzoek. Consumenten en fabrikanten moeten ingebedde browsers erkennen als kritiek aanvalspunt, stellen de onderzoekers.

Door Jasper Bakker

Nieuwsredacteur

Feedback • 15-12-2025 13:40
42 • submitter: Mortis__Rigor

15-12-2025 • 13:40

42

Submitter: Mortis__Rigor

Lees meer

Google introduceert Disco, een experimentele webbrowser met AI-tabbladen
Google introduceert Disco, een experimentele webbrowser met AI-tabbladen Nieuws van 12 december 2025
Netflix noemt enkele compatibele apparaten die casten nog wel ondersteunen
Netflix noemt enkele compatibele apparaten die casten nog wel ondersteunen Nieuws van 3 december 2025
Samsung brengt bèta uit van Chromium-browser voor Windows en belooft AI-functies
Samsung brengt bèta uit van Chromium-browser voor Windows en belooft AI-functies Nieuws van 30 oktober 2025
Toekomstige Samsung-tv's en -monitors krijgen toegang tot Microsoft Copilot
Toekomstige Samsung-tv's en -monitors krijgen toegang tot Microsoft Copilot Nieuws van 28 augustus 2025
Meer producten en artikelen
Beveiliging en antivirus Netwerk en systeembeheer Browsers Marktontwikkelingen Politiek en recht Auto browser Cybersecurity Security Smart tv Update

Reacties (42)

-Moderatie-faq
42
42
19
1
0
21
Wijzig sortering

Sorteer op:

Weergave:
XelaRetak 15 december 2025 13:46
Gelukkig worden die embedded browsers naar mijn weten ook echt minimaal gebruikt omdat ze gruwelijk slecht zijn. En als ze al ergens voor worden gebruikt is het bijv. videocontent, zeker geen internetbankieren oid.
Reageer
Brenuijl @XelaRetak15 december 2025 13:50
de Chrome browser op Renaults (Android automotive) werkt prima, is net een grote tablet waarop je surft, en krijgt regelmatig updates.
Reageer
XelaRetak @Brenuijl15 december 2025 13:52
En dat is dan dus ook meteen een goed bijgehouden build, want dat is gewoon een android based Chrome browser. Dat heb ik op m'n Chromecast met Google TV ook dus daar speelt dat probleem niet.
Reageer
bzzzt @XelaRetak15 december 2025 13:57
Nu is het misschien nog een goed bijgehouden build, maar aangezien er nog behoorlijk wat auto's van 20 jaar oud op de weg zijn ben ik heel benieuwd hoe die situatie op langere termijn is.
Of je rijdt rond met een gapend security gat of de fabrikant heeft een houdbaarheid ingesteld waardoor je geen browser meer hebt. Ik denk dat de markt voor het langer aanbieden van dit soort functionaliteit te klein is om meer te verwachten.
Reageer
Upsilon @Brenuijl15 december 2025 14:04
Moah, niet perse als je al praktisch twee jaar geen enkele update ontvangt buiten de Google Maps updates van tijd tot tijd. Ter vergelijk: ik rijd een Renault Austral uit 2022. Voelt als één groot beveiligingslek met de weet dat je geen updates krijgt.
Reageer
Skit3000 @XelaRetak15 december 2025 13:50
Ik denk dat het risico niet zit in internetbankieren, maar in dat een willekeurige onbetrouwbare website die je bezoekt een of andere payload uit kan voeren buiten de sandbox van de browser. Dan nog zal het risico dat er echt iets mis gaat laag zijn, want de meeste aanvallen zullen zich richten op de grote platforms (Apple, Microsoft) en geen idee hebben wat ze nu moeten doen op een gameconsole (je save games wissen ofzo?). Inzetten voor een botnet oid is misschien wel waarschijnlijker, maar dat is niet perse direct een beveiligingsrisico voor de eigenaar van het apparaat.
Reageer
Daoka @Skit300015 december 2025 14:12
en geen idee hebben wat ze nu moeten doen op een gameconsole (je save games wissen ofzo?)
Als je je creditcard hebt toegevoegd op de store kan je als hacker natuurlijk geld uitgeven. Ik zou niet blij zijn als ik een rekening van 1000 euro zou krijgen omdat iemand anders games gekocht heeft die ik geeneens wil spelen.
Reageer
Skit3000 @Daoka15 december 2025 14:19
Als een exploit in je PlayStation (Xbox, etc etc) bij heeft gedragen aan die aankopen (in hun eigen store), lijkt het me dat Sony (Microsoft, etc etc) niks anders kan dan die betalingen heel snel terug te draaien.
Reageer
JayPe @Skit300015 december 2025 14:58
Lijkt jou.

Praktijk is mogelijk weerbarstiger. En je creditcard gegevens lekken en daarmee heel andere aankopen doen, elders?
Reageer
Guru Evi @JayPe15 december 2025 15:33
Gelukkig kun je bij de meeste kredietkaarten gewoon bellen en de onus ligt aan de verkoper om te bewijzen dat jij wel degelijk die aankopen gedaan hebt. Vooral met digitale aankopen is het gemakkelijk voor de verkoper om gewoon de licenties in te trekken, ze hebben er niets aan verloren.

Het probleem is dat we in Europa overal liever pinnen of directe overdrachten - die 5c aan Visa vinden we teveel geld, zelfs online, en de banken doen alsof dit onverslaanbaar veilig is terwijl er dagelijks (vooral oudere) mensen gedupeerd worden. Dat is gelijkaardig aan cash uitgeven, eenmaal de transactie doorgaat kan het niet meer teruggedraaid worden.

[Reactie gewijzigd door Guru Evi op 15 december 2025 15:36]

Reageer
manuarmata @Guru Evi15 december 2025 15:53
ik vind vooral het idee dat je geld kan uitgeven dat je niet bezit om het de maand nadien terug te betalen een enorm veiligheidsrisico bij kredietkaarten, men kan je niet alleen pluimen, men kan je ook nog eens in de schulden steken.
Reageer
Skit3000 @JayPe15 december 2025 15:44
Je creditcardgegevens staan niet op je apparaat, maar bij de verkoper (dus zodra hun systeem gehackt is, ben je toch al de pineut), al zouden ze die niet op mogen slaan nadat de kaart geautoriseerd is.
Reageer
JayPe @Skit300015 december 2025 16:09
Je creditcard gegevens worden via die browser wel verstuurd. Daar zit een veiligheidsrisico, dat er ergens in de cache bijvoorbeeld wat blijft staan. Het gaat er bij verouderde software niet om hoe het werkt, maar vooral wat er niet gepatched is.
Reageer
Guru Evi @Skit300015 december 2025 16:11
Je browser kan ook je gegevens bijhouden, net zoals een paswoord manager. Maar eenmaal je browser of apparaat zelf gehackt is maakt het niet uit, alle gegevens kunnen onderschept worden, je locatie, alles dat je intikt, elke website die je bezoekt, cookies etc.
Reageer
Commendatore @Skit300015 december 2025 14:05
Op ereaders kun je vaak ook boeken kopen bij de een verbonden boekwinkel, al dan niet via opgeslagen betaalgegevens, en voor de synchronisatie van je bibliotheek ben je ook ingelogd. Ik zie hier wel wat misbruikspotentieel.
Reageer
willemjan92 @XelaRetak15 december 2025 13:53
Ben daar inderdaad wel benieuwd naar. Ik kan me niet herinneren dat ik op mijn TV en gameconsole ooit de browser heb geopend. Tegenwoordig heeft (bijna) iedereen een smartphone die een stuk sneller is. Hoeveel mensen gebruiken nou echt de browser van hun TV? Ja, veiligheid is ook voor die ene sporadische keer belangrijk, maar is het echt nodig om een browser op die devices te hebben waarmee men elke website kan bezoeken?
Reageer
Jeroen73 @willemjan9215 december 2025 15:03
Maar dat betekent dus gewoon dat die fabrikant dat soort onzin weg moet laten van de TV/ koelkast/auto/ thermostaat als ze dat geen tien tot twintig jaar willen ondersteunen.
Reageer
Ace_010 @willemjan9215 december 2025 15:59
Ik heb het uit de tv verwijderd want nutteloos. Elke app is eruit die ik nooit ga gebruiken.
Reageer
pmeter @XelaRetak15 december 2025 14:30
De embedded browsers worden misschien vooral gebruikt om op obscure websites APK's te downloaden van software die niet in de Google Store te vinden is. Nu zijn er grote betrouwbare APK sites, maar ik gok zomaar dat die niet allemaal even betrouwbaar zijn in combinatie met een verouderde browser.
Reageer
readefries @pmeter15 december 2025 14:58
Dat het niet op de PlayStore te vinden maakt het niet obscuur. Als je b.v. kijkt naar F-droid is het juist minder opscuur, doordat van elke build de erop staat te herleiden is welke commit en build er op je device staat.

Daarnaast heb je sites die mirrors zijn van PlayStore zodat je apps die soms regiogebonden in de PlayStore wel gewoon in een andere 'regio' kan installeren. Of wanneer je niet wil dat Google weet welke apps je allemaal gebruikt.

Kortom, er zijn legio platformen waarvan je apps kan downloaden. Waarvan de meeste gewoon betrouwbaar zijn.
Reageer
Skit3000 15 december 2025 13:48
Het ligt er natuurlijk aan waar je deze browsers voor gebruikt. Het risico bij gebruik van een oude browser op een televisie, auto, of gameconsole die enkel pagina's van de eigen producent opent (denk aan een lijst met wat simpele webapps, etc) is natuurlijk een stuk lager dan wanneer je het ganse internet af gaat met deze oude browserversie.
Reageer
gamezfreak @Skit300015 december 2025 14:05
Het gaat niet zo zeer om dat je alleen legitieme sites bezoekt met een oude browser versie, maar om de manier hoe hackers werken. Zodra je je tv / koelkast / wasmachine / auto aan het internet hangt, weten hackers je apparaat al te vinden voordat jij een website hebt bezocht. Hackers doen o.a. port scans maar ook vulnerability scans, op zoek naar oude software versies die niet zijn gepatched. Zo kunnen ze dus van iedere apparaat een botnet maken, of kunnen ze jouw apparaat gebruiken om andere apparaten binnen jouw netwerk te voorzien van virussen / ransomware.

Je kan beter een Chromecast of Apple TV bij je nieuwe TV bij kopen, dan de ingebouwde apps gebruiken.
Reageer
Skit3000 @gamezfreak15 december 2025 14:16
Ik snap je bezorgdheid, maar zolang je gaan poort open zet vanaf het internet naar je apparaat zal en/of het geen upnp gebruikt, zal je apparaat bij een portscan niet zichtbaar zijn.

Bezoek je een (kwaadaardige) website, kunnen ze natuurlijk wel direct via je (oude, niet bijgewerkte) browser je apparaat in komen.
Reageer
zanza006 @gamezfreak15 december 2025 15:02
Een google Chromecast dongle heeft nog updates maar wordt niet meer gemaakt. Vroeg of laat is het EoL en krijg je geen updates meer. Deze kunnen ook kwetsbaard worden na verloop van tijd.
Reageer
Mative @gamezfreak15 december 2025 15:22
Volgens mij kun je het (buiten een botnet) toch ook gebruiken om allerlei malafide code verder mee te verspreiden? Als je dan je telefoon verbind met je auto, dan kan het naar je telefoon en alles wat daar in de toekomst mee verbonden wordt verspreid worden dacht ik. Of praat ik nou onzin?
Reageer
bzzzt @Skit300015 december 2025 14:00
De definitie van browser is natuurlijk dat je een URL kan openen en weergeven.
Je hebt gelijk dat het risico kleiner is voor dedicated apps die toevallig op browser engines zijn gebouwd maar ook daar kan het misgaan, bijvoorbeeld als fabrikanten het domein niet meer verlengen en iemand anders de URL overneemt die door duizenden apparaten wordt benaderd.
Reageer
gerwim @Skit300015 december 2025 14:04
Ja en nee. Je kan je LG TV rooten door middel van een website te bezoeken (https://rootmy.tv). Dat betekend dus dat iemand ook kwaadwillige software kan schrijven voor je device. Als dat je auto is, die op zo'n manier geroot wordt...

Ik mag hopen dat alles gescheiden is in een auto, maar voor alle andere apparaten is dit wel daadwerkelijk een issue.
Reageer
lenwar
@gerwim15 december 2025 15:51
Als dat je auto is, die op zo'n manier geroot wordt...
Dan is het multimediasysteem van je auto geroot. Dat kan al vervelend genoeg zijn, natuurlijk, maar dat is niet per definitie gevaarlijk. Het feit dat het multimediasysteem en 'de auto zelf' een bedieningspaneel delen, creëert het idee van volledige integratie, maar dat hoeft niet. (zoals je zelf an aangeeft)
Reageer
Guru Evi @Skit300015 december 2025 15:42
Voor de meeste 'web' content wordt de embedded browser gebruikt. Dus stel dat je op je auto een maps app hebt, en je zoekt naar een restaurant, per direct worden al die websites geopend en pre-rendered. Er moet maar 1 tussenzitten die een menu in PDF of HTML of Wordpress site heeft die besmet is, en ik weet geen enkel bedrijf in de horeca die zelfs weet wat platform ze draaien, laat staan zorgvuldig wekelijks updaten. Ik heb vroeger zelfstandig tech gedaan voor horeca, ze bellen met moeite eenmaal per jaar en dan meestal als hun kaartlezers (Internet) eruit ligt, ik heb zoveel mensen voorgesteld om een degelijke router, firewall, website etc op te zetten - dat is te duur.
Reageer
telenut 15 december 2025 13:49
Veel auto's gebruiken Android Automotive, of Android auto/carplay. Dan krijgen die toch regelmatig updates?
Tesla heeft eigen browser, maar daar heb je ook maandelijks wel een update.
Een E-reader... daar ga je wel geen DDOS mee uitvoeren :-)
En browsers op consoles... dat is dan weer handig dat ze weinig updates krijgen voor de tweakers ;-)

Mensen zitten ook geen bankzaken te doen op hun TV scherm ofzo. Voor zover ze daar al ooit de browser op openen.
Denk al bij al dat het testen van de browser op uw device met de link die ze geven nog het gevaarlijkste van al is ;-)
Reageer
gamezfreak @telenut15 december 2025 14:07
Veel auto's gebruiken Android Automotive, of Android auto/carplay. Dan krijgen die toch regelmatig updates?
Android Automotive krijgt voor zover ik het weet, de updates vanuit de fabrikant binnen, maar Android Auto daarentegen krijgt alleen client side (dus de smartphone) updates. Daarnaast moet je je afvragen of je überhaupt een browser sessie open wil hebben staan tijdens het rijden, want dat zorgt dan weer voor de nodige afleiding.
Reageer
xFeverr @gamezfreak15 december 2025 14:15
Android Auto en Apple Carplay (ook Ultra) draaien ook volledig op de telefoon zelf. Er wordt 'slechts' een videostream getoond op het scherm van je auto. Het is dus de telefoon die de frames rendered. Als je dus een webbrowser zou maken voor AA/AC (wat volgens mij niet eens kan, maar goed), dan zou dat dus de browser op de telefoon zijn die daar de webpagina rendered en het resultaat daarvan in de videostream richting de auto laat zien.
Reageer
belgianmadcow @xFeverr15 december 2025 15:01
Bedankt hiervoor. Ik voel(de) me onprettig bij het idee van al dan niet updates van het nieuwe kleine autootje dat ik heb. Weet ik alvast dat Android Auto gewoon van m'n gsm komt. In wat voor staat die is, daar heb ik controle over.
Reageer
Jerie @gamezfreak15 december 2025 14:36
Voor een automobilist, zeker. Zo'n browser sessie kan ook open staan voor een bijrijder. Zit er bijvoorbeeld een infotainment systeem in de stoel van de bestuurder of bijrijder, dan kan de bestuurder deze realistisch gezien niet gebruiken tijdens het rijden (zeg nooit nooit :+). Het kan ook een app betreffen (aannemende dat de ingebouwde browser embedded wordt gebruikt in de applicaties), denk bijvoorbeeld aan een kaarten applicatie.

Nice dat ze dit hebben onderzocht. Ik bedoel, als je eerlijk bent dan verwacht iedereen die hier een beetje kaas van heeft gegeten deze uitkomst. Maar nu staat het zwart op wit, en dat is waardevol.

Kan er ook nog wel andere voorbeelden van geven. Kobo e-reader heeft als beta feature een browser. Hebben ze al vele jaren. Die kan nooit updated zijn als ze al een half jaar geen firmware update uit hebben gebracht. Voor oudere zogenaamde smartTV's geldt hetzelfde (mede daarom een STB gebruiken). Apple Safari (WebKit) is voor tegenwoordige standaarden redelijk langzaam qua updates. Google Chrome en Mozilla Firefox doen het allebei wel aardig.

[Reactie gewijzigd door Jerie op 15 december 2025 14:37]

Reageer
William_H @telenut15 december 2025 14:08
Ik kan mij zo voorstellen dat er mensen zijn die via de browser één of andere illegale streamwebsite opzoeken en bezoeken. En dat zonder adblocker, want die zal niet werken of beschikbaar zijn. En dat bezoek je op een tv want daarop wil je zo'n stream lekker groot kijken. Meestal serveren dit soort sites ook "leuke" ads, waarbij je dus meteen een aanvalsvector hebt.

Wat sommige mensen even vergeten is dat één crack niet het grootste probleem is, maar wel dat het een "steppingstone" is voor een grotere crack van een netwerk. En dan kan je router ineens aan de beurt zijn, of je laadpaal als het om een auto gaat. En als die laadpaal vervolgens gekraakt wordt, hoef ik niet uit te leggen wat de risico's zijn als een hele straat aan oplaadpalen gekraakt wordt of een hele wijk voor de stabiliteit van een energienetwerk of andere vitale infra.
Reageer
Blokker_1999
@telenut15 december 2025 14:34
Ik kocht in 2019 een nieuwe wagen waarvan het infotainment systeem onderliggend gewoon op Android 4.4 draait. Kan je je direct inbeelden dat dat toch echt geen goede vooruitgang is en dat beveiligingsupdates daar echt geen prioriteit waren. En ook vandaag zijn het de fabrikanten die verantwoordelijk blijven voor die beveiligingsupdates van steeds meer en meer apparaten met een embedded OS, maar er niets mee doen.
Reageer
theduke1989 15 december 2025 13:58
Kan wel kloppen, wij mogen ook geen smart functies meer gebruiken. En alleen over speciale VLAN loopt de internet verbinding. Alle kamers zijn voorzien van Logitech Harmony configuraties
Reageer
SmokingSig 15 december 2025 14:38
De reden wrm ik een Google TV streamer gebruik…

heb die slimme tvs altijd al bagger gevonden
Reageer
RonaldHeirbaut 15 december 2025 14:57
Browser in je auto? Wat voegt dat toe? De enige browser die ik soms in mijn auto heb, is mijn telefoon, tablet of laptop.
Reageer
lenwar
@RonaldHeirbaut15 december 2025 15:53
Voor de bijrijders? Of anders om de webservices van de fabrikant weer te geven? (dus niet naar ikverveelme.com, maar naar, carapps.kia.com (of zo)

[Reactie gewijzigd door lenwar op 15 december 2025 15:54]

Reageer
slijkie 15 december 2025 14:58
Daarom zit mijn LG G5 niet op wifi of lan, tuurlijk zou ik er een apart vlan voor kunnen maken, maar die TV’s, al zijn ze nog zo duur, hebben echt slechte chips en software. Draai meeste op een Apple TV. Heel soms koppel ik de TV even op wifi voor firmware updates, maar verder blijft dat ding gewoon offline. Als ik die hele webos eraf zou kunnen gooien zou ik dat ook doen. Of dat ze eindelijk TV’s (aparte lineup) uitgeven als ‘domme’ TV’s. Heerlijk.
Reageer
manuarmata 15 december 2025 15:59
Artikel doet me terugdenken aan de browser in de citroen C4 cactus (2014) ik denk niet dat ik er ooit in geslaagd ben daar een webpagina op weer te geven. Niet dat het nuttig was maar als het nieuw is wil je het toch eens proberen. Het was zó erbarmelijk dat ze er beter er uit hadden gelaten.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq