Zo’n 400.000 Europeanen hebben een apparaat waarmee hun locatie is te volgen en waarmee zij continu zijn af te luisteren. Daarvoor waarschuwt beveiligingsbedrijf Onvio, dat hiernaar een zogenoemd Responsible Disclosure-onderzoek heeft uitgevoerd.

Het gaat om apparaten van een Chinese fabrikant die door Onvio niet met name wordt genoemd. De producten worden door zes distributeurs op de Europese markt gebracht, waarvan één uit Nederland. Onvio benaderde hen, maar alleen de Nederlandse distributeur wilde medewerking verlenen om klanten te beschermen tegen mogelijke spionageactiviteiten van personen die misbruik weten te maken van de ontbrekende beveiliging.

Onopgemerkt afluisteren
Tot de verdachte producten behoren GPS-horloges waarmee ouders kunnen zien waar hun kinderen uithangen. Doordat beveiliging ontbreekt kunnen derden onopgemerkt afluisteren via de microfoon in het GPS horloge, de actuele GPS-coördinaten en historie inzien, SMS-berichten sturen naar het horloge, instellingen wijzigingen, zoals het telefoonboek aanpassen en persoonsgegevens inzien zoals e-mail-adres, voornaam en achternaam. De gegevens worden via een ingebouwde SIM-kaart met de server van de leverancier uitgewisseld. Dit gebeurt ook met de gegevens in de bijbehorende app. Onvio wist zonder veel moeite het verkeer tussen de horloges, de app en de server te onderscheppen en te analyseren. Er werd weliswaar gebruik gemaakt van unieke authenticatiesleutels, die te beschouwen zijn als een wachtwoord, maar het bleek mogelijk om vanaf internet alle authenticatiesleutels van alle gebruikers op te halen. Zo konden op afstand commando’s worden gestuurd naar alle GPS-apparaten. Ook kon een afluisterfunctie worden geactiveerd. Die werkt via het bijbehorende 06-nummer. Op het GPS-apparaat zelf is niet te zien dat afgeluisterd wordt.

Aanbevelingen
Onvio raadt consumenten aan om altijd kritisch te zijn bij het aankopen van GPS-apparaten. Zeker als die ook microfoons en afluisterfuncties hebben. Er zijn helaas geen keurmerken die een mate van kwaliteit afdwingen op het gebied van beveiliging, al wordt daar in Europees verband wel aan gewerkt. Het advies is ook om op internet te zoeken naar onafhankelijke onderzoeken naar het apparaat, bijvoorbeeld door de Consumentenbond. Ook wederverkopers zouden volgens Onvio harde eisen moeten stellen aan hun fabrikanten, als het gaat om beveiliging van producten tegen inbreuk op de privacy van de gebruikers. Eventueel kan men de apparatuur zelf laten testen door ethische hackers, waarbij ook de achterliggende infrastructuur onderzocht moet worden.