Mijn stofzuiger bespioneert me!

[Consumenneke]

Een bloggende nerd die zichzelf codetiger noemt, was benieuwd welke gegevens zijn zuigbot allemaal via het internet openbaarde en schroefde het apparaat uit elkaar. Bleek dat dat ding data deelde waar de gebruiker geen toestemming voor gegeven had.

Onze ingenieur stelde het apparaat opnieuw af om te voorkomen dat onder andere wachtwoorden en andere gevoelige data verzonden werden. Paar dagen later functioneerde de zuiger niet meer. Na service was het euvel hersteld, tot de zuigbot opnieuw dienst weigerde. Dat herhaalde zich enkele keren, tot ook de garantie-aanspraak geweigerd werd.

Hij haalde het complete apparaat uit elkaar, onderzocht het probleem, ontdekte dat de zuigbot ook op afstand bestuurbaar was (en klaarblijkelijk onklaar te maken) en bouwde zijn eigen besturingssysteem. Zie blog.

This wasn’t just one rogue brand. The same hardware, the 3irobotix CRL-200S, powers devices from Xiaomi, Wyze, Viomi, and Proscenic. Dozens of smart vacuums, all potentially vulnerable to the same abuse. Our homes are filled with cameras, microphones, and mobile sensors connected to companies we barely know, all capable of being weaponized with a single line of code.

3irobotix is een oude handelsnaam van Shenzen Picea Motion Technology en lijkt nu een product van 3itech. Zo te zien, kan deze techniek ook in zuigers van andere merken ingebouwd zijn.

Trouwens, de smart settop box aan jouw TV zuigert ook data op.

[Consumenneke]

Er is in elk geval geen bewijs van spionage. Waar wel bewijs van is, is het via de software uitschakelen van de robotstofzuiger wanneer er met de software gerommeld wordt. De beste man die de software van zijn stofzuiger wilde aanpassen, omdat hij vond dat deze meer data verzamelde dan hij nodig achtte, kwam er zelf achter dat dat in de originele software zo geschreven stond.

Met de software rommelen?

How could a simple IP block disable a vacuum cleaner that is supposed to work offline as well?

Volgens mij is dat iets anders.

Heb het originele verhaal gelezen, moeten meer mensen doen. Er zijn veel mensen die dat niet gedaan hebben en naar aanleiding van de titel en vele spraakmakende artikelen op internet hun eigen verhaal ervan maken. De man deed wat hij (en wat wij eigenlijk allemaal moeten doen) met alle zijn slimme apparaten deed, namelijk het netwerkverkeer van dat apparaat monitoren. En daar zag hij netwerkverkeer dat voor het functioneren van het apparaat niet nodig was. En dus blokkeerde hij deze zaken in zijn router, niet in de stofzuiger. De slimme stofzuiger kon er een paar dagen omheen werken maar stopte toen. En bij de garantie claims werd getest met een open netwerk wat uiteraard gewoon werkt.
Pas toen zijn garantie claims geweigerd werden is hij hardware matige zaken (lees openschroeven) gaan doen. Maar lees de blog zou ik zeggen.
Een voorlopige conclusie (lessons learned) van zijn kant was : beschouw slimme apparaten als gasten in je huis. En voor gasten maak je thuis een gast netwerk zodat ze geen gebruik maken van je eigen netwerk.

[Ron5300]

Bedankt voor de kennisgeving maar is het niet een soort van complottheorie die door de nerd in kwestie bedacht is.

[Wat-nou-weer]

Weet 100% zeker dat het niet jouw stofzuiger is.

[Speedy123]

Ach ja, Chinese fabrikanten die een Robostofzuiger rustig op afstand express onklaar maakt. Kan niet zeggen dat ik verbaasd ben, we horen niet anders:

https://tweakers.net/nieuws/241010/ontw ... maakt.html

[angel1978]

Ach ja, Chinese fabrikanten die een Robostofzuiger rustig op afstand express onklaar maakt. Kan niet zeggen dat ik verbaasd ben, we horen niet anders:

https://tweakers.net/nieuws/241010/ontw ... maakt.html

Dat kan ook niet anders, als je naar hetzelfde blog verwijst.

[Consumenneke]

Dat kan ook niet anders, als je naar hetzelfde blog verwijst.

Nou-nou, ik ben naar de bron van dat blog teruggegaan.

Opvallend: Tweakers dateert het op 241010 maar in de reacties zie je dat dit nieuws vers is.

Bedankt voor de kennisgeving maar is het niet een soort van complottheorie die door de nerd in kwestie bedacht is.

Iets verder kijken dan de neus lang is, levert nieuwe inzichten op. Wat denkt u zelf Ron?

[Nijogeth]

Men wil gebruik maken van een app, die app moet ergens de data vandaan halen. Dat is dus uit de cloud.

Het probleem is vooral dat we overal apps en software voor willen. Mijn robotstofzuiger is niet slim, heeft geen app, ook geen internetverbinding, maar is wel op afstand bestuurbaar met een afstandbediening.

[peter17111962]

Dat is nog niet eens zo bijzonder, ruim 20 jaar geleden werd er al stiekem afluister
apparatuur geplaatst in dingen, tenminste volgens deze dorpsgek dan. En dan niet in
stofzuigers maar in tanden en kiezen. Lees hier onder zijn website en laat U verbazen.

https://web.archive.org/web/20050126002 ... ub.tip.nl/

Vergeet vooral niet om iets klaar te leggen tegen maag krampen
(van het lachen wel te verstaat dan)

[Ron5300]

Wat ik denk, de Amerikaanse blogger was zoals die ook schreef enigszins paranoïde en heeft met de wifi instellingen van de robotstofzuiger geknutseld.

De robotstofzuiger is er daarna mee gestopt en dat lijkt me meer aan de blogger dan aan de fabrikant te wijten want bij de fabrikant was er aan de robotstofzuiger geen defect te vinden.

Nieuwsgierig heeft de blogger de robotstofzuiger zeg maar ontleed en kwam volgens de blogger verdachte componenten tegen zoals een camera, plaatsbepaling sensoren en meer zaken die informatie over de ruimte in kaart brachten.

Het viel de blogger op dat die informatie naar een server van de fabrikant verzonden werden die er mogelijk misbruik van zou kunnen maken maar kan dat ook weer niet bewijzen.

Gevolg is dan een soort van theorie dat in alle apparatuur die met internet verbonden is de fabrikant meekijkt onder het motto als het bij deze robotstofzuiger zou kunnen dan zal dat bij alle apparatuur ook kunnen.

Aan de hand van de blog weten we wel meer over de werking van een robotstofzuiger maar om er spionage aan te hangen gaat wel heel erg ver.

[de auditu]

Dit topic heeft wel een hoog dagkoersgehalte.

[Consumenneke]

De robotstofzuiger is er daarna mee gestopt en dat lijkt me meer aan de blogger dan aan de fabrikant te wijten want bij de fabrikant was er aan de robotstofzuiger geen defect te vinden.

Nou fantaseert u (wederom) een eigen variant van het verhaal. Bij de 'garantie-reparaties' werden de oude instellingen hersteld en dus ook de oude verbinding die data vergaarde en verzond. Dat werd door de klant wederom ongedaan gemaakt, omdat een aanzienlijk deel van de data zonder toestemming en zonder noodzaak verzameld werden. Waarop de reparateur verdere diensten weigerde.

Technisch was er niks mis met de zuiger, maar de oorspronkelijke leverancier stelde het niet op prijs dat zijn gegevenszuiger afgezet werd.

Ik heb ook diverse Chinese apparaten die voorzien zijn van microfoons, camera's en wifiverbindingen die data verzamelen en verzenden, zoals (reeds eerder genoemde) een settop-box. Maar ook apparaten van Apple en Google die data naar de USA sturen. Zou niet weten wat ze ermee doen of kunnen doen, en lig daar ook niet wakker van.

Maar ben me er wel bewust van.

[Ron5300]

Nou fantaseert u (wederom) een eigen variant van het verhaal

Heeft u de inhoud van het verhaal van de blogger wel goed gelezen blijkbaar niet.

De blogger is zelf met instellingen aan het knutselen geweest'.
Vervolgens uw quote,

Bij de 'garantie-reparaties' werden de oude instellingen hersteld en dus ook de oude verbinding die data vergaarde en verzond. Dat werd door de klant wederom ongedaan gemaakt, omdat een aanzienlijk deel van de data zonder toestemming en zonder noodzaak verzameld werden. Waarop de reparateur verdere diensten weigerde.

waarin u eigenlijk toegeeft dat de blogger weer met de instellingen aan het knutselen is gegaan.

Is dat mijn fantasie? dat dacht ik dan weer niet want het staat in uw quote letterlijk geschreven.
Wat is het doel bangmakerij of aandacht trekken want negatieve aandacht is ook aandacht.

[StevieNL81]

Speaking of fantaseren....lekker fictieve titel

[Speedy123]

Ik heb ook diverse Chinese apparaten die voorzien zijn van microfoons, camera's en wifiverbindingen die data verzamelen en verzenden, zoals (reeds eerder genoemde) een settop-box. Maar ook apparaten van Apple en Google die data naar de USA sturen. Zou niet weten wat ze ermee doen of kunnen doen, en lig daar ook niet wakker van.

Maar ben me er wel bewust van.

De gegevens worden gewoon verwerkt en gebruikt om u te classificeren. Indien u nimmer naar de VS reist en/of zakelijk niets te maken heeft met Amerikaanse bedrijven noch interessant bent voor industriële spionage, dan zullen de gevolgen voor u allemaal wel meevallen.

[Consumenneke]

Nou fantaseert u (wederom) een eigen variant van het verhaal

Heeft u de inhoud van het verhaal van de blogger wel goed gelezen blijkbaar niet. De blogger is zelf met instellingen aan het knutselen geweest.

Het is aardig dat u probeert een samenvatting te maken maar het is wel jammer dat u er zo'n stampotje van maakt want de blogger codetiger heeft eerst alleen het dataverkeer waar hij geen toestemming voor had gegeven (en die niet nodig was voor het functioneren van zijn botzuiger) geblokkeerd en heeft pas nadat verder herstel geweigerd was tegen de garantieregels in de schroevendraaier ter hand genomen, zodat er pas in tweede instantie sprake is van zelf knutselen.

De gegevens worden gewoon verwerkt en gebruikt om u te classificeren. Indien u nimmer naar de VS reist en/of zakelijk niets te maken heeft met Amerikaanse bedrijven noch interessant bent voor industriële spionage, dan zullen de gevolgen voor u allemaal wel meevallen.

Ik reis regelmatig naar de VS, heb zakelijk te maken met Amerikaanse bedrijven en ben doelwit voor industriële spionage vanuit alle windstreken. Wat nu?

Als dat niet het geval is, kunnen we gerust gaan slapen - vindt u?

Ik maak me wel druk om buitenlandse bedrijven en instellingen die op grote schaal persoons- en gedragsgegevens verzamelen. En was daarom blij dat Experian zich terugtrekt uit Nederland (Ius Mentis) na een miljoenenboete van de Autoriteit Persoonsgegevens.

Het wachten is op de eerste boete voor stofzuigerfabrikanten.

[PGros]

Nou fantaseert u (wederom) een eigen variant van het verhaal

Heeft u de inhoud van het verhaal van de blogger wel goed gelezen blijkbaar niet. De blogger is zelf met instellingen aan het knutselen geweest.

Het is aardig dat u probeert een samenvatting te maken maar het is wel jammer dat u er zo'n stampotje van maakt want de blogger codetiger heeft eerst alleen het dataverkeer waar hij geen toestemming voor had gegeven (en die niet nodig was voor het functioneren van zijn botzuiger) geblokkeerd en heeft pas nadat verder herstel geweigerd was tegen de garantieregels in de schroevendraaier ter hand genomen, zodat er pas in tweede instantie sprake is van zelf knutselen.

Volgens mij begint het topic met:

Een bloggende nerd die zichzelf codetiger noemt, was benieuwd welke gegevens zijn zuigbot allemaal via het internet openbaarde en schroefde het apparaat uit elkaar. Bleek dat dat ding data deelde waar de gebruiker geen toestemming voor gegeven had.

Dus de schroevendraaier werd al knutselend toch meteen gebruikt.

[Consumenneke]

Dus de schroevendraaier werd al knutselend toch meteen gebruikt.

Mijn eerste samenvatting is minder van belang dat het oorspronkelijke verhaal, waar de schroevendraaier pas tevoorschijn kwam nadat garantieherstel geweigerd werd. Blijkbaar is het voor een codetiger mogelijk het dataverkeer (deels) te blokkeren zonder schroevendraaier.

U verdient een halve bonuspunt omdat u me betrapt hebt op een ietwat haastige samenvatting.

Het maakt voor het uiteindelijke verhaal niet zoveel uit.

[Methusalah]

Wat ik denk, de Amerikaanse blogger was zoals die ook schreef enigszins paranoïde en heeft met de wifi instellingen van de robotstofzuiger geknutseld.

De robotstofzuiger is er daarna mee gestopt en dat lijkt me meer aan de blogger dan aan de fabrikant te wijten want bij de fabrikant was er aan de robotstofzuiger geen defect te vinden.

Nieuwsgierig heeft de blogger de robotstofzuiger zeg maar ontleed en kwam volgens de blogger verdachte componenten tegen zoals een camera, plaatsbepaling sensoren en meer zaken die informatie over de ruimte in kaart brachten.

Het viel de blogger op dat die informatie naar een server van de fabrikant verzonden werden die er mogelijk misbruik van zou kunnen maken maar kan dat ook weer niet bewijzen.

Gevolg is dan een soort van theorie dat in alle apparatuur die met internet verbonden is de fabrikant meekijkt onder het motto als het bij deze robotstofzuiger zou kunnen dan zal dat bij alle apparatuur ook kunnen.

Aan de hand van de blog weten we wel meer over de werking van een robotstofzuiger maar om er spionage aan te hangen gaat wel heel erg ver.

Nu ben ik het niet vaak eens met Consumenneke maar je hebt duidelijk het artikel niet (goed) gelezen en maakt er nu je eigen waarheid van.

[Nijogeth]

Er is in elk geval geen bewijs van spionage. Waar wel bewijs van is, is het via de software uitschakelen van de robotstofzuiger wanneer er met de software gerommeld wordt. De beste man die de software van zijn stofzuiger wilde aanpassen, omdat hij vond dat deze meer data verzamelde dan hij nodig achtte, kwam er zelf achter dat dat in de originele software zo geschreven stond.

Een beetje vergelijkbaar met de meeste moderne auto's, waarbij bepaalde aanpassingen in de ECU het voertuig ook onklaar maken (waarna de garantie nog wel blijft gelden zolang de auto nog origineel is en dealer onderhouden, maar wordt wel op kosten van de eigenaar de originele map er weer op gezet. Kort gezegd, terug naar fabrieksinstellingen). Wil je dus gaan tunen met de meeste moderne auto's, dan moet je al beginnen met een andere ECU kopen van een paar duizend euro.

Wat hier gebeurt is dat de man zijn stofzuiger wil tunen (software aanpassen naar zijn wensen), de stofzuiger vervolgens stopt en de verkoper deze weer naar de fabrieksinstellingen zet. Tot dan geldt er nog garantie. Maar de man gaat verder met aanpassingen doen en verliest daarmee zijn garantie.

Er is nog steeds geen bewijs voor spionage. Het enige dat er bekend is, is dat er data vanuit de stofzuiger (dus de data voor de wifi, de data over de kamers van het huis en dat soort zaken) naar een server gaat. Vanuit de app benader je die server weer om die data te gebruiken voor hetgeen jij wil. Er is geen enkel bewijs dat er meer met de data wordt gedaan, dus ik snap de commotie niet echt.

Wil je niet dat een product data stuurt naar een server, koop geen slimme producten. Het is zo simpel.

[Consumenneke]

Er is in elk geval geen bewijs van spionage. Waar wel bewijs van is, is het via de software uitschakelen van de robotstofzuiger wanneer er met de software gerommeld wordt. De beste man die de software van zijn stofzuiger wilde aanpassen, omdat hij vond dat deze meer data verzamelde dan hij nodig achtte, kwam er zelf achter dat dat in de originele software zo geschreven stond.

Met de software rommelen?

How could a simple IP block disable a vacuum cleaner that is supposed to work offline as well?

Volgens mij is dat iets anders.