Matige beveiliging en privacyinbreuken gaan hand in hand, vooral als we het hebben over slimme apparaten. Zelfs als je aanvullende stappen hebt genomen om je privacy te beschermen - bijvoorbeeld door IoT-apparaten via een VPN te verbinden - kan je provider of aanvaller met soortgelijke capaciteiten de apparaten gebruiken om je te bespioneren.

Met ruis verblinden

Een onderzoek van Princeton University naar spioneren in smarthomes en de effecten van versleuteling keek naar hoe toereikend de methodes die techies gebruiken om IoT-apparaten te beschermen (PDF). Het slechte nieuws is dat de dingen waarvan we denken dat ze ook werken tegen ISP's en andere grote dataverzamelaars niet het effect hebben dat we verwachten.

Maar het goede nieuws is dat er wel een manier is om ervoor te zorgen dat potentiële privacyproblemen door datagraaiende ISP's, overheden of criminelen wel te voorkomen is. De beste manier daarvoor is het toevoegen van ruis.

Zelfs encryptie niet afdoende

De onderzoekers ontdekten dat providers of een andere passieve netwerkpartijen metadata van IoT-apparaten - zelfs slimme apparaten die encryptie bevatten - kunnen gebruiken om te achterhalen waar een doelwit mee bezig is. Een privacy-aanval op slimme apparaten heeft twee componenten: identificatie van het apparaat en gevolgtrekkingen over activiteiten uit veranderingen in netwerkverkeer, zoals packetgroottes en doorvoersnelheden.

De metadatamethode om slim verkeer op te sporen gebruikt voor dat eerste DNS-query's om verkeer van specifieke slimme apparaten te scheiden van het overige netwerkverkeer. Voor het tweede wordt gemonitord op specifieke veranderingen in dat stukje netwerkverkeer om te zien wat de apparaten doen. Het onderzoek:

We hebben deze aanval getest met diverse commercieel beschikbare smart home-apparaten en konden bij alle privégedrag van gebruikers achterhalen door metadata van het netwerkverkeer te analyseren. Verkeer van een Sense-sleeptracker onthulde slaappatronen, verkeer van een Belkin WeMo wanneer een apparaat wordt in- of uitgeschakeld en verkeer van een Nast Cam Indoor-beveiligingscamera liet zien wanneer een gebruiker de camerafeed actief monitort of wanneer de camera beweging detecteert. Dat deze aanval zo breed inzetbaar is bij slimme thuisapparaten laat zien dat fabrikanten aandacht moeten besteden aan technische privacybescherming.

De laboratoriumopstelling gebruikte zeven populaire IoT-apparaten: Sense Sleep Monitor, Nest Cam Indoor security camera, Amcrest WiFi Security IP Camera, Belkin WeMo switch, TP-Link WiFi Smart Plug, Orvibo Smart WiFi Socket en een Amazon Echo. Maar de onderzoekers wijzen erop dat elke eigenaar van een slim apparaat op z'n hoede moet zijn, omdat de methode om veranderingen in het netwerkverkeer te meten toepasbaar is op allerlei soorten slimme apparaten.