Geen beterschap in beveiliging gps-horloges voor kinderen

Een paar maanden geleden maakte de Noorse Consumentenbond bekend dat verschillende smartwatches voor kinderen serieuze problemen vertoonden op het gebied van privacy en beveiliging. Uit een hertest blijkt nu dat die problemen alles behalve verholpen zijn en in twee gevallen zelfs nog verergerd zijn. De Consumentenbond roept daarom opnieuw op om die horloges uit de verkoop te halen. Daarnaast doet ze ook een aantal aanbevelingen die breder gaan dan enkel de smartwatches en een oplossing moeten bieden voor het brede veld van het internet of things.

Onbetrouwbare smartwatches blijven onbetrouwbaar

In oktober bleek uit onderzoek van de Noorse consumentenbond dat de beveiliging van gps-horloges voor kinderen heel wat te wensen overliet. Het was zo erg dat de consumentenbond zelfs opriep om de horloges uit de rekken te halen, daarin gevolgd door Test-Aankoop. Bij merken als Gator en SE Tracker bleek onder meer dat mogelijke aanvallers het horloge konden hacken om de toestellen te tracken, op afstand mee te luisteren of zelfs contact te leggen met het kind. Data werden ook opgeslagen en doorgestuurd zonder encryptie.

Kort na de bekendmaking beweerden twee fabrikanten dat de problemen opgelost waren. Maar liever dan die bedrijven op hun woord te geloven, deed de Noorse Consumentenbond een nieuwe test. Daaruit blijkt niet alleen dat de problemen helemaal niet opgelost zijn; er zijn ook nieuwe problemen opgedoken die het hele verhaal nog erger maken.

Zo gaf fabrikant GatorNorge, als compensatie voor de problemen met de Gator2, aan haar Noorse klanten de nieuwe Gator3. Maar die Gator3 blijkt onder meer de gesprekken tussen ouders en kinderen op te slaan op een onbeveiligde server. Ook de nieuwe app voor smartwatches van GPSforBam (GPSforalle) vertoont nog steeds dezelfde beveiligingsproblemen als haar voorloper SeTracker.

Voor de Noorse Consumentenbond betekenen deze bevindingen dat je dit soort bedrijven onmogelijk op hun woorden kan vertrouwen. Dat is geen nieuwe, maar daarom niet minder schrijnende vaststelling. Zeker als het gaat om smartwatches die zogenaamd bedoeld zijn voor de veiligheid van kinderen, maar in de praktijk net een extra gevaar voor de kinderen betekenen. De Consumentenbond roept daarom opnieuw op om de verkoop van deze producten te verbieden.

Aanbevelingen

De Noorse Consumentenbond wijst er voor alle duidelijkheid op dat de tests enkel gebeurd zijn met de modellen die in Noorwegen te koop zijn. Maar vergelijkbare smartwatches voor kinderen zijn wel in heel Europa en de VS te koop en het is verre van uitgesloten dat die horloges dezelfde gebreken op het gebied van privacy en beveiliging vertonen. Het probleem is duidelijk breder dan enkel die twee smartwatches die nu onder de loep werden genoemen. Het schrijnend gebrek aan de meest elementaire vorm van beveiliging, stelt gebruikers bloot aan onaanvaardbare risico’s. Het toont meteen ook de nood aan een betere regulering van dit soort producten en diensten.

In een apart bericht doet de Noorse Consumentenbond daarom een aantal aanbevelingen die dergelijke miskleunen in de toekomst moeten vermijden en die we hieronder weergeven.

Short term actions:

  • Demand companies to prove/verify that their products are safe by a third party security expert. It is unacceptable that the burden of proof is on the consumer.
  • Ask stores/vendors to stop selling the products until they are safe
  • Ask DPAs and other relevant authorities to investigate, in case they have not yet done so

Medium term demands

  • Vendors/retailers should ask importers/producers of connected products for security certification from independent third parties before selling and promoting these products to consumers
  • Vendors/retailers should provide more information about the security and privacy implications of the products they sell at the point of purchase
  • Vendors/ retailers need help to define criteria for privacy and cyber security in IoT devices, through checklists and certifications/ standards developed by authorities, industry and civil society

Long term (but process needs to be started asap)

  • Update appropriate legislations
    for example: update the product safety legislation to also cover connected devices and cyber security and/or include cyber security in CE certification, radio equipment directive, …

De Consumentenbond eindigt haar aanbevelingen dat de GDPR hierbij een belangrijke rol kan spelen. Die nieuwe Europese data en privacy wetgeving treedt in mei 2018 in werking. Maar de vraag is of dit voldoende zal zijn om dit soort problemen op te lossen en consumenten ook effectief zal beschermen tegen bedrijven die bewust of onbewust slordig omspringen met persoonlijke gegevens.