Ongeregistreerde Bluetooth-bakens Schiphol potentieel risico

Ongeregistreerde Bluetooth-bakens Schiphol potentieel risico

Bluetooth beacons Nearby Notifications

Zoals de naam van de apparaatjes al verraadt, zijn Bluetooth beacons een soort digitale bakens. In hun simpelste vorm, sturen ze daarbij hun identificatiecode uit. Smartphones die deze ontvangen, kunnen op basis van de bakens die in de buurt zijn dan bijvoorbeeld hun locatie bepalen. De bekendste techniek van Bluetooth-bakens heet iBeacons en is gemaakt door Apple. Google heeft een eigen (open) techniek die Eddystone heet. Bluetooth-bakens kunnen in principe door iedereen uitgelezen worden

Een andere toepassing van deze beacons werd afgelopen zomer door Google gelanceerd in de vorm van Nearby Notifications. Beacon-eigenaren kunnen hun digitale bakens registreren bij Google en er een melding aanhangen. Wanneer mensen met een toestel dat draait op Android 4.4 KitKat of hoger in de buurt van een geregistreerde baken met melding komen, krijgen ze een notificatie. Het kan dan gaan om een specifieke aanbieding: de bakker op de hoek kan je een kortingscode geven wanneer je zijn winkel instapt. Het kan ook gaan om de link naar een Android-applicatie in de Play Store. Google geeft daarvoor zelf het voorbeeld van United Airlines. De vliegmaatschappij geeft aan, wanneer je hun vertrekhal binnenkomt, dat er een United Airlines-app beschikbaar is.

Met Nearby Notifications wil Google invulling geven aan het concept 'physical web'. Hiermee moet het eenvoudiger worden om apps en diensten te ontdekken. Zo kan een bushalte aangeven dat er een app is met bustijden, of kan een schilderij in een museum zelf een omschrijving in de vorm van een website op het scherm van een smartphone tonen. Er wordt automatisch gescand op bakens in de buurt wanneer het scherm van het Android-toestel aan is en Bluetooth ingeschakeld staat.

Navigatie op Schiphol

Op Schiphol worden Bluetooth-bakens gebruikt om navigatie binnen de terminals aan te bieden. GPS-navigatie is niet meer weg te denken, niet alleen voor automobilisten, maar ook voor voetgangers in een vreemde stad. GPS werkt echter heel slecht binnenshuis, waardoor alternatieven nodig zijn om navigatiemogelijkheden binnen gebouwen of complexen zo groot als Schiphol aan te bieden.

Sinds afgelopen zomer biedt Schiphol indoor-navigatie aan via zijn mobiele applicatie. Deze app maakt gebruik van Bluetooth beacons voor de plaatsbepaling. Volgens Schiphol zijn daarvoor ongeveer 2000 van deze digitale bakens in en rondom de gebouwen van het vliegveld geplaatst. Wanneer je de navigatiemogelijkheden binnen de applicatie gebruikt, wordt 'geluisterd' naar deze 2000 Bluetooth beacons.

Ongeregistreerde bakens op Schiphol

De Bluetooth beacons op Schiphol blijken niet geregistreerd te zijn bij Google. Dat houdt in dat het mogelijk is voor derden om deze zelf te registreren, zo ontdekte Android-ontwikkelaar Hugo Visser (Little Robots), bekend van de weer-app Rainy Days. Om te laten zien welk effect dat kan hebben, registreerde hij zelf een aantal van de beacons op Schiphol. Vervolgens maakte hij een Nearby Notification aan met een kerstboodschap en een link naar zijn website.

Visser laat weten dat enkele honderden mensen op zijn website beland zijn via de notificatie. Het aantal mensen dat een notificatie heeft ontvangen zal volgens hem een stuk groter zijn, maar omdat er de eerste keer een uitleg met informatie over Nearby Notifications verschijnt, zullen veel mensen niet hebben doorgeklikt.

Het gaat hier om onschuldig vermaak, maar er is wel degelijk een serieuze ondertoon volgens Visser: "ze hebben op Schiphol 'cutting edge' tech geïnstalleerd zonder de ontwikkelingen bij te houden kennelijk". Kwaadwillenden zouden de beacons op deze manier kunnen gebruiken voor het verspreiden van malware of een phishing-campagne, waarbij de Schiphol-website bijvoorbeeld zouden kunnen imiteren. Een woordvoerder van Schiphol laat weten:

‘Veiligheid heeft te allen tijde de hoogste prioriteit op Schiphol. We nemen deze melding serieus. De beacons zelf zijn niet onveilig, maar ze waren niet geregistreerd bij Google. Schiphol gaat alle 2000 beacons per direct bij Google registreren. Zo is er geen mogelijkheid meer om notificaties via de Schiphol-beacons naar Android-toestellen uit te sturen.'

Of het op deze manier opzetten van een malware-campagne zou werken, is wel nog maar de vraag. Er is bij Google geen handmatige controle op de links die via Nearby Notifications, maar er wordt wel automatisch gecontroleerd op malware en spam. Daarnaast moet een kwaadwillende gebruik maken van een ontwikkelaarsaccount bij Google. Deze zijn wel gratis aan te maken, maar dit maakt het mogelijk om in één keer alle notificaties die door deze persoon gekoppeld worden aan beacons te blokkeren.

Hugo Visser geeft aan dat het malwaredetectie-algoritme van Google dat gebruikt wordt bij Nearby Notifications eenvoudig lokaal te testen is, waardoor een eventuele kwaadwillende verschillende manieren van phishing of malwareverspreiding van deze notificaties zou kunnen testen alvorens de methoden die wel werken in de praktijk te gebruiken.

Nearby Notifications uitschakelen

Naast malware- en spamdetectie gebruikt Google ook andere manieren om te voorkomen dat de notificaties, die je zou kunnen zien als ongewenste manier van versturen van reclame, vervelend voor de gebruiker worden. Op individueel niveau wordt er bijgehouden wanneer een dergelijke notificatie weggesleept of weggedrukt wordt. Je zult na het wegdrukken van een Nearby Notification een tijdje niet meer van dit soort notificaties ontvangen. Wanneer je de volgende keer wéér een Nearby Notification wegsleept zal het nog langer duren tot je weer zo'n bericht ontvangt. Het openen van een Nearby Notification zorgt er voor dat deze 'timer' gereset wordt.

Ook op notificatie-niveau wordt automatisch bepaald of deze vervelend is voor gebruikers. Wanneer veel gebruikers een notificatie wegslepen of sluiten zonder deze te openen, heeft het systeem in de gaten dat de notificatie niet relevant is of vervelend is voor de gebruiker.

Bij de eerste keer dat er op een Nearby Notification gedrukt wordt door de gebruiker, zal Google een korte introductie geven, waarin duidelijk wordt gemaakt wat de functie ervan is en hoe en waar de notificaties uit te schakelen zijn. Eventueel is het ook al mogelijk om Nearby Notificaties uit te schakelen, voordat je deze voor het eerst ontvangt. Wanneer je echter, net als bij het lezen van e-mail en tijdens het browsen, je gezond verstand gebruikt, zal dit niet nodig zijn.

Het uitschakelen van Nearby Notifications kan bij de Google-instellingen op Android-toestellen. Onder het kopje 'Services' is de pagina 'Nearby' te vinden met daarop links die gevonden zijn in de buurt. Door op het rader-icoontje rechtsbovenin te drukken, kom je bij de Nearby-instellingen. Door de optie 'Links in de buurt beschikbaar' uit te schakelen, zorg je er voor dat je geen Nearby Notifications meer ontvangt. De optie 'Apparaten klaar voor configuratie' kan dan aan blijven staan: die is bijvoorbeeld handig bij het instellen van een nieuwe Chromecast.

Beacons registreren bij Google

Voor bedrijven die Bluetooth beacons inzetten in hun winkels, is het verstandig om de beacons voor de ingebruikname te registreren bij Google. Daarnaast zijn er andere manieren om dit soort misbruik te voorkomen bij beacons. De meeste bedrijven die Bluetooth beacons aanbieden, bieden ook een manier om de identificatiecode van de bakens automatisch te laten rouleren (UUID rotation). Op vaste tijden worden de identificatiecodes automatisch veranderd. Doordat de codes wel voorspelbaar zijn voor de eigenaar van de bakens, maar niet voor mensen die op een afstand 'luisteren', zijn deze een stuk beter beveiligd.

Hugo Visser geeft aan veel ongeregistreerde beacons tegen te zijn gekomen en geeft beacon-eigenaren als tip nog mee de technologie die ze inzetten beter te blijven volgen.

Lees meer over:
Security

Plaats reactie

666

0 reacties

Laad meer reacties

Je bekijkt nu de reacties waarvoor je een notificatie hebt ontvangen, wil je alle reacties bij dit artikel zien, klik dan op onderstaande knop.

Bekijk alle reacties

Meest gelezen

Onweer in Nederland, 3 apps die je tijdig waarschuwen voor onweer

Onweersbuien in Nederland, dat kan nogal wat problemen veroorzaken. In Nederland onweert het gemiddeld 21 (noordoosten) tot 3...

Top 5 best verkochte telefoons wereldwijd (Q1 2022)

Vorige week maakten we bekend welke fabrikant momenteel de meeste telefoons in Nederland verkoopt. Nu komen we te weten welke...

'Fout in Huawei AppGallery maakt betaalde Android-apps gratis'

Door een fout in de AppGallery van Huawei kunnen gebruikers betaalde Android-apps gratis downloaden. Het kost wel wat technis...

MijnKPN laat je nu automatisch mobiele data delen met je gezin

KPN maakt het voor klanten makkelijker om hun mobiele databundel met anderen te delen. Je kan voortaan in de MijnKPN-app inst...

Eerste generatie Google Nest Hub krijgt nu appdrawer via update

Google werkt de eerste generatie van de Google Nest Hub bij met een appdrawer. Je kan zo door je lijst met apps navigeren zod...

'Qualcomm werkt aan high-end chipset en betere naamgeving voor chipsets'

Qualcomm kondigt naar alle waarschijnlijkheid op 20 mei een nieuwe high-end processor aan. Naar verwachting zal het hier gaan...

Deze speciale Galaxy Buds-case was in 20 minuten uitverkocht

Je zou denken dat Samsungs Galaxy Buds 2-oordopjes opnieuw op de markt zijn verschenen, maar dan in een aparte uitvoering. To...

Google Play Store laat je nu snel apps met toegankelijkheidsfuncties vinden

Google maakt het makkelijker voor mensen met een beperking om geschikte apps te vinden in de Play Store. Ze krijgen nu een la...

Beste compacte smartphones (2022)

Wat zijn de beste compacte smartphones die je op dit moment kunt kopen? Wat is dan eigenlijk compact? En wat zijn de mogelijk...

Lees meer

Net binnen

Beste compacte smartphones (2022)

Wat zijn de beste compacte smartphones die je op dit moment kunt kopen? Wat is dan eigenlijk compact? En wat zijn de mogelijk...

Deze speciale Galaxy Buds-case was in 20 minuten uitverkocht

Je zou denken dat Samsungs Galaxy Buds 2-oordopjes opnieuw op de markt zijn verschenen, maar dan in een aparte uitvoering. To...

Top 5 best verkochte telefoons wereldwijd (Q1 2022)

Vorige week maakten we bekend welke fabrikant momenteel de meeste telefoons in Nederland verkoopt. Nu komen we te weten welke...

Google Play Store laat je nu snel apps met toegankelijkheidsfuncties vinden

Google maakt het makkelijker voor mensen met een beperking om geschikte apps te vinden in de Play Store. Ze krijgen nu een la...

Eerste generatie Google Nest Hub krijgt nu appdrawer via update

Google werkt de eerste generatie van de Google Nest Hub bij met een appdrawer. Je kan zo door je lijst met apps navigeren zod...

Lees meer