Ondanks beschuldigingen stelt Google dat zijn Home Hub veilig is

Veiligheidsonderzoeker Jerry Gamblin bestelde de Google Home Hub zodra hij aangekondigd was. Eenmaal aangesloten, werd het toestel gescand op openstaande poorten en ontdekte Gamblin dat hij de Hub verscheidene commando's kon laten uitvoeren via een ongedocumenteerde api. Dit alles zonder zich te moeten aanmelden op het toestel als een geautoriseerde gebruiker. Als voorbeeld toont de onderzoeker hoe men alle Home Hubs binnen een netwerk kan laten rebooten of hun netwerkinstellingen kan laten vergeten.

Een Google-woordvoerder liet Engadget weten dat de claim over de onveiligheid van de Google Home Hub ongegrond is. Als reden haalt Google daarbij aan dat de api – die bedoeld is voor mobiele applicaties – enkel te benaderen is via hetzelfde netwerk. Ook zou op geen enkel moment gebruikersdata blootgelegd worden.

Erik de Jong, Chief Research Officer Fox-IT wist hier het volgende over te zeggen:

Wat hier gebeurt, illustreert heel goed de problematiek rondom consumentenapparatuur. Het zijn feitelijk computers, met de bijbehorende uitdagingen op het vlak van beveiliging. Nog los van het feit of in dit geval Google gelijk heeft, of de onderzoeker, kan je van consumenten niet
verwachten dat ze dermate specialistische kennis hebben om hun apparatuur te beveiligen. Een consument koopt zijn apparaat, verbindt het met zijn netwerk en gaat ervan uit dat het veilig genoeg is. Die verwachting is wat ons betreft terecht, alleen maken fabrikanten dat momenteel in veel gevallen niet waar.

Als gevolg daarvan lopen consumenten ofwel zelf risico zonder dat ze het weten, ofwel de maatschappij loopt risico als de apparatuur op grote schaal gehackt kan worden en kan worden ingezet voor verstorende aanvallen. Dit is in de afgelopen jaren ook daadwerkelijk gebeurd.

Daarom is het goed dat er nu, ook vanuit de politiek, serieus wordt gekeken naar de mogelijkheden om minimumeisen te stellen aan de beveiliging van apparatuur. Denk dan bijvoorbeeld aan automatische updates gedurende een bepaalde periode na aanschaf, het afdwingen van unieke en sterke wachtwoorden en de mate waarin dergelijke apparatuur bestand moet zijn tegen hack-pogingen van buitenaf.