Hardware-fabrikanten voorzien een groeiend aantal toestellen van een internetverbinding. Logisch, heet het, want het ‘internet of things’ wordt stilaan realiteit. De toestelfabrikanten zijn echter alles behalve softwarespecialisten. Stevenen we af op een ‘internet of unsecure and hackable things’?

Als we Samsung, LG, Sony en vele anderen mogen geloven, zijn al onze huishoudtoestellen straks ‘smart’, of gelinkt aan het internet. Waar koelkasten met Twitter-interface goed voor zijn laten we in het midden, maar feit is dat ze er aan komen.

Heel wat mensen hebben trouwens al een televisietoestel in huis waarmee je online kan gaan. Het internet ís dus eigenlijk al binnengebroken in de woonkamer. Is dat een probleem? Misschien wel. Een televisietoestel met een internetverbinding is meer een computer dan een tv. En een computer draait op software; in de televisiewereld gaat het vaak om een platform van de producent.

Daar zou het schoentje knellen. Hardware-fabrikanten hebben immers geen kaas gegeten van software, laat staan dat ze hun toepassingen vaak updaten. Terwijl je er van op aan kan dat nieuwe apparaten na enkele maanden met softwareglitches te maken krijgen.

Sowieso zullen er securitygebreken worden blootgelegd, en niet alleen dat. Technologie is niet statisch en verandert voortdurend. Als een dienst zoals Netflix zijn oude api’s vervangt door nieuwe (wanneer het de H. 264 codec bijvoorbeeld ruilt voor de H. 265 codec om minder bandbreedte te verbruiken), dan moet ook de software van het applicatieplatform waarop Netflix draait geüpdatet worden, anders kan je de dienst niet meer gebruiken.

Met andere woorden moeten de softwarecomponenten van slimme toestellen voortdurend worden bijgewerkt. En dat is iets wat vandaag de dag nauwelijks gebeurt. Zelfs de producenten van Android-telefoons bieden nauwelijks updates aan. Als de levensduur van een gemiddelde slimme telefoon ongeveer drie jaar bedraagt, dan zijn de updates na 18 maanden al helemaal opgedroogd.

Keren we dan even terug naar onze televisie en onze koelkast. Die toestellen hebben een levenscyclus van méér dan enkele jaren, waardoor ze meer nog dan mobieltjes software-updates nodig hebben. Die updates kosten best veel geld, terwijl je er als producent geen toestel extra door zal verkopen, en ze dus commercieel oninteressant zijn.

In de softwarewereld heb je met spelers als Microsoft en IBM wél bedrijven die jarenlang een degelijk niveau van ondersteuning bieden, maar dat zijn ondernemingen die met één voet in de bedrijfswereld staan. In de consumentenmarkt mag je al blij zijn als een toestel twee jaar ondersteund wordt. Waardoor je in een later stadium noodzakelijkerwijs met onveilige apparaten komt te zitten die zelfs geen up to date apps meer kunnen draaien.

HACKERS

Ook threat researcher David Sancho van Trend Micro stelt zich vragen bij het connecteren van toestellen die niet ontworpen zijn om veilig online te gaan. “Op termijn wordt het perfect mogelijk dat criminelen via een kwetsbaarheid in de software van de stofzuiger ook andere toestellen in huis besmetten”, klinkt het.

“Grote vraag is hoe serieus bedrijven als Sony, Samsung en LG security nemen. Het is niet omdat ze vandaag niet sterk zijn in software, dat dit morgen nog zo zal zijn.” Sancho vervolgt dat er momenteel nog geen grote aanvallen zijn geweest op geconnecteerde televisies, maar dat die aanvallen er wel kunnen komen.

“Criminelen focussen pas op een bepaald soort toestel wanneer er voldoende van in omloop zijn én als ze er geld in zien. Wanneer de consument begint te shoppen via zijn televisie bijvoorbeeld. Of via de interface op zijn koelkast. Maar zo ver is het nog niet.”

De threat researcher benadrukt wel nog eens het belang van updates. “Bij de smartphones hebben we gezien waartoe verouderde software kan leiden. Er zijn nog steeds toestellen in omloop die draaien op Android 1.4. Security-gewijs is dat platform een catastrofe, maar de devices worden natuurlijk niet meer bijgewerkt. Met alle gevolgen van dien.”

Frederik Tibau

“Op termijn wordt het perfect mogelijk dat criminelen via een kwetsbaarheid in de software van de stofzuiger ook andere toestellen in huis besmetten.”