Smart-tv’s sturen standaard verkeer naar Netflix, terwijl de gebruiker geen Netflix-account heeft. IoT-deurbellen maken opnames van voorbijgangers, zonder dat de eigenaar hiervan op de hoogte wordt gebracht.
Dit zijn slechts enkele voorbeelden uit een omvangrijk onderzoek naar Internet of Things-apparaten door het Imperial College London en de Northeastern University.
Locatie
In het onderzoek zijn 81 IoT-apparaten onder de loep genomen, waaronder rijstkokers, koelkasten, lampen, speakers en televisies. De apparatuur werd onderworpen aan meer dan 34.000 gecontroleerde experimenten op twee locaties: één in de Verenigde Staten en één in het Verenigd Koninkrijk. 72 van de 81 apparaten verzonden gegevens naar een locatie die niet van de producent was. Voorts bleek dat 56 procent van de apparaten in de VS en bijna 84 procent van de apparaten die in het VK werden getest, gegevens verzonden naar locaties buiten hun regio.
Cloudproviders
Alle apparatuur blijkt informatie via niet-geëncrypte gegevens te lekken. Een passieve afluisteraar heeft bij 30 van de 81 apparaten de mogelijkheid om het gedrag van de gebruiker en het apparaat af te leiden aan de hand van het verkeer, ongeacht of dit geëncrypt is. Tevens blijkt dat tientallen van de apparaten bij het inschakelen gegevens naar derde partijen versturen, zoals Facebook, Google, Microsoft en Netflix. Uit het onderzoek blijkt ook dat een klein aantal cloudproviders het meeste IoT-verkeer zien.
Klik hier voor het onderzoeksverslag van het Imperial College London en de Northeastern University.
Klik hier voor de code en dataset van de onderzoekers op GitHub.