Kritiek lek in IoT-software raakt 83 miljoen apparaten

De bewuste software van ThroughTek is het Kalay-protocol dat wordt gebruikt in zeker 83 miljoen apparaten van verschillende merken. Volgens ThroughTek worden er maandelijks zeker 1,1 miljard verbindingen gemaakt gemaakt op zijn platforms. Daarbij gaat het vooral om babyfoons, DVR-producten (digital video recording) en webcamera’s. Het lek is ontdekt door onderzoekers van beveiligingsbedrijf Mandiant. Een hacker kan hierlangs audio- en videofeeds van die apparaten bekijken.

Het CISA dringt aan bij ThroughTek op een patch. Het Taiwanese softwarebedrijf heeft vooralsnog alleen advies te bieden hoe de beveiligingsrisico’s beperkt kunnen blijven.

SDK in clientsoftware

Het Kalay-protocol is geïmplementeerd als een sofware development kit (SDK) die is ingebouwd in clientsoftware van de apparatuur van veel hardwarefabrikanten en -resellers. Daardoor kan slechts een schatting worden gegeven van het aantal apparaten dat wordt geraakt door dit lek.

In mei dit jaar gaf het CISA al een waarschuwing voor een lek in software van ThroughTek. Dat betrof een ander lek, waardoor remote code execution mogelijk is.

De lekken in de software van ThroughTek geven duidelijk de beveiligingsproblematiek weer van IoT-apparatuur. Volgens de onderzoekers van Mandiant is beveiliging geen prioriteit voor IoT-leveranciers en -producenten. Daar komt bij dat het effect van een lek heel groot kan zijn omdat dit vaak de producten van zeer veel leveranciers raakt.

IoT-keurmerken

Wereldwijd komt er nu wel enige discussie op gang over de benodigde wetgeving. Zo heeft de Europese Commissie onlangs besloten dat  Internet of Things (IoT)-apparaten een eigen plek krijgen onder het CE-keurmerk. Aan de hand van dat CE-keurmerk wordt gegarandeerd dat de apparatuur aan bepaalde eisen op het gebied van cybersecurity gaan voldoen. 

De VS besloot  vorig jaar dat leveranciers van IoT-producten aan de Amerikaanse overheid aan wettelijke eisen moeten voldoen op het gebied van patchen en identiteitsbeheer.