Naar content
Trending apps
  • Inbox by Gmail

  • Maps: Navigatie en OV

  • WhatsApp Messenger

  • Messenger

  • Facebook

Trending games
  • Minecraft Earth

  • Dr. Mario World

  • Harry Potter: Wizards Unite

  • Breaking Bad: Criminal Elements

  • The Elder Scrolls: Blades

Trending smartphones
  • Realme X2 Pro

  • Moto G8 Plus

  • Microsoft Surface Duo

  • OnePlus 7T Pro

  • Nokia 7.2

Nieuwste tablets
  • Samsung Galaxy Tab S6

  • Samsung Galaxy Tab A 10.5

  • Samsung Galaxy Tab S4

  • Samsung Galaxy Tab S3 9.7

  • Asus Zenpad 3S 10

'Bezoek nu de Schiphol-website'

Ongeregistreerde Bluetooth-bakens Schiphol potentieel risico

· 26 december 2016

Bluetooth beacons zijn kleine apparaatjes die gebruikt kunnen worden om bijvoorbeeld navigatie binnen gebouwen aan te bieden. Er zijn echter nog veel meer mogelijkheden, waaronder notificaties die in de praktijk ook inzetbaar blijken te zijn door niet-eigenaren.

Bluetooth beacons Nearby Notifications

Zoals de naam van de apparaatjes al verraadt, zijn Bluetooth beacons een soort digitale bakens. In hun simpelste vorm, sturen ze daarbij hun identificatiecode uit. Smartphones die deze ontvangen, kunnen op basis van de bakens die in de buurt zijn dan bijvoorbeeld hun locatie bepalen. De bekendste techniek van Bluetooth-bakens heet iBeacons en is gemaakt door Apple. Google heeft een eigen (open) techniek die Eddystone heet. Bluetooth-bakens kunnen in principe door iedereen uitgelezen worden

Een andere toepassing van deze beacons werd afgelopen zomer door Google gelanceerd in de vorm van Nearby Notifications. Beacon-eigenaren kunnen hun digitale bakens registreren bij Google en er een melding aanhangen. Wanneer mensen met een toestel dat draait op Android 4.4 KitKat of hoger in de buurt van een geregistreerde baken met melding komen, krijgen ze een notificatie. Het kan dan gaan om een specifieke aanbieding: de bakker op de hoek kan je een kortingscode geven wanneer je zijn winkel instapt. Het kan ook gaan om de link naar een Android-applicatie in de Play Store. Google geeft daarvoor zelf het voorbeeld van United Airlines. De vliegmaatschappij geeft aan, wanneer je hun vertrekhal binnenkomt, dat er een United Airlines-app beschikbaar is.


Nearby Notifications op Android

Met Nearby Notifications wil Google invulling geven aan het concept 'physical web'. Hiermee moet het eenvoudiger worden om apps en diensten te ontdekken. Zo kan een bushalte aangeven dat er een app is met bustijden, of kan een schilderij in een museum zelf een omschrijving in de vorm van een website op het scherm van een smartphone tonen. Er wordt automatisch gescand op bakens in de buurt wanneer het scherm van het Android-toestel aan is en Bluetooth ingeschakeld staat. 

Afbeelding van fysical web

Navigatie op Schiphol

Op Schiphol worden Bluetooth-bakens gebruikt om navigatie binnen de terminals aan te bieden. GPS-navigatie is niet meer weg te denken, niet alleen voor automobilisten, maar ook voor voetgangers in een vreemde stad. GPS werkt echter heel slecht binnenshuis, waardoor alternatieven nodig zijn om navigatiemogelijkheden binnen gebouwen of complexen zo groot als Schiphol aan te bieden.

Sinds afgelopen zomer biedt Schiphol indoor-navigatie aan via zijn mobiele applicatie. Deze app maakt gebruik van Bluetooth beacons voor de plaatsbepaling. Volgens Schiphol zijn daarvoor ongeveer 2000 van deze digitale bakens in en rondom de gebouwen van het vliegveld geplaatst. Wanneer je de navigatiemogelijkheden binnen de applicatie gebruikt, wordt 'geluisterd' naar deze 2000 Bluetooth beacons.

Ongeregistreerde bakens op Schiphol

De Bluetooth beacons op Schiphol blijken niet geregistreerd te zijn bij Google. Dat houdt in dat het mogelijk is voor derden om deze zelf te registreren, zo ontdekte Android-ontwikkelaar Hugo Visser (Little Robots), bekend van de weer-app Rainy Days. Om te laten zien welk effect dat kan hebben, registreerde hij zelf een aantal van de beacons op Schiphol. Vervolgens maakte hij een Nearby Notification aan met een kerstboodschap en een link naar zijn website.

Kerstboodschap Little Robots op Schiphol

Visser laat weten dat enkele honderden mensen op zijn website beland zijn via de notificatie. Het aantal mensen dat een notificatie heeft ontvangen zal volgens hem een stuk groter zijn, maar omdat er de eerste keer een uitleg met informatie over Nearby Notifications verschijnt, zullen veel mensen niet hebben doorgeklikt.

Het gaat hier om onschuldig vermaak, maar er is wel degelijk een serieuze ondertoon volgens Visser: "ze hebben op Schiphol 'cutting edge' tech geïnstalleerd zonder de ontwikkelingen bij te houden kennelijk". Kwaadwillenden zouden de beacons op deze manier kunnen gebruiken voor het verspreiden van malware of een phishing-campagne, waarbij de Schiphol-website bijvoorbeeld zouden kunnen imiteren. Een woordvoerder van Schiphol laat weten:

‘Veiligheid heeft te allen tijde de hoogste prioriteit op Schiphol. We nemen deze melding serieus. De beacons zelf zijn niet onveilig, maar ze waren niet geregistreerd bij Google. Schiphol gaat alle 2000 beacons per direct bij Google registreren. Zo is er geen mogelijkheid meer om notificaties via de Schiphol-beacons naar Android-toestellen uit te sturen.'

Of het op deze manier opzetten van een malware-campagne zou werken, is wel nog maar de vraag. Er is bij Google geen handmatige controle op de links die via Nearby Notifications, maar er wordt wel automatisch gecontroleerd op malware en spam. Daarnaast moet een kwaadwillende gebruik maken van een ontwikkelaarsaccount bij Google. Deze zijn wel gratis aan te maken, maar dit maakt het mogelijk om in één keer alle notificaties die door deze persoon gekoppeld worden aan beacons te blokkeren.

Hugo Visser geeft aan dat het malwaredetectie-algoritme van Google dat gebruikt wordt bij Nearby Notifications eenvoudig lokaal te testen is, waardoor een eventuele kwaadwillende verschillende manieren van phishing of malwareverspreiding van deze notificaties zou kunnen testen alvorens de methoden die wel werken in de praktijk te gebruiken.

Nearby Notifications uitschakelen

Naast malware- en spamdetectie gebruikt Google ook andere manieren om te voorkomen dat de notificaties, die je zou kunnen zien als ongewenste manier van versturen van reclame, vervelend voor de gebruiker worden. Op individueel niveau wordt er bijgehouden wanneer een dergelijke notificatie weggesleept of weggedrukt wordt. Je zult na het wegdrukken van een Nearby Notification een tijdje niet meer van dit soort notificaties ontvangen. Wanneer je de volgende keer wéér een Nearby Notification wegsleept zal het nog langer duren tot je weer zo'n bericht ontvangt. Het openen van een Nearby Notification zorgt er voor dat deze 'timer' gereset wordt.

Ook op notificatie-niveau wordt automatisch bepaald of deze vervelend is voor gebruikers. Wanneer veel gebruikers een notificatie wegslepen of sluiten zonder deze te openen, heeft het systeem in de gaten dat de notificatie niet relevant is of vervelend is voor de gebruiker.

Bij de eerste keer dat er op een Nearby Notification gedrukt wordt door de gebruiker, zal Google een korte introductie geven, waarin duidelijk wordt gemaakt wat de functie ervan is en hoe en waar de notificaties uit te schakelen zijn. Eventueel is het ook al mogelijk om Nearby Notificaties uit te schakelen, voordat je deze voor het eerst ontvangt. Wanneer je echter, net als bij het lezen van e-mail en tijdens het browsen, je gezond verstand gebruikt, zal dit niet nodig zijn.

Het uitschakelen van Nearby Notifications kan bij de Google-instellingen op Android-toestellen. Onder het kopje 'Services' is de pagina 'Nearby' te vinden met daarop links die gevonden zijn in de buurt. Door op het rader-icoontje rechtsbovenin te drukken, kom je bij de Nearby-instellingen. Door de optie 'Links in de buurt beschikbaar' uit te schakelen, zorg je er voor dat je geen Nearby Notifications meer ontvangt. De optie 'Apparaten klaar voor configuratie' kan dan aan blijven staan: die is bijvoorbeeld handig bij het instellen van een nieuwe Chromecast.

Instellingen voor Nearby

Beacons registreren bij Google

Voor bedrijven die Bluetooth beacons inzetten in hun winkels, is het verstandig om de beacons voor de ingebruikname te registreren bij Google. Daarnaast zijn er andere manieren om dit soort misbruik te voorkomen bij beacons. De meeste bedrijven die Bluetooth beacons aanbieden, bieden ook een manier om de identificatiecode van de bakens automatisch te laten rouleren (UUID rotation). Op vaste tijden worden de identificatiecodes automatisch veranderd. Doordat de codes wel voorspelbaar zijn voor de eigenaar van de bakens, maar niet voor mensen die op een afstand 'luisteren', zijn deze een stuk beter beveiligd.

Hugo Visser geeft aan veel ongeregistreerde beacons tegen te zijn gekomen en geeft beacon-eigenaren als tip nog mee de technologie die ze inzetten beter te blijven volgen.

Spelfouten, taalfouten of inhoudelijke fouten ontdekt? Stuur dan een mailtje naar de auteur van dit artikel!

Reacties (3)
Bezig met laden van reacties...