Onderzoek domotica-apparatuur
Vervolgonderzoek updates Domotica
In opdracht van de Autoriteit Consument & Markt (ACM) en de Rijksinspectie Digitale Infrastructuur (RDI) hebben Dialogic en Creds in 2021 en 2022 onderzoek gedaan naar 15 domotica-apparaten. Op 31 augustus 2022 hebben zij het onderzoeksrapport ‘Onderzoek domotica-apparatuur’ opgeleverd (hierna: domotica-rapport). Bij het onderzoek is gekeken naar feiten die relevant zijn voor de toepassing van regels in het kader van de digitale economie waar ACM en de RDI toezicht op houden of toezicht op gaan houden. Bij de RDI ligt de focus op veiligheid en bij de ACM op consumentenrecht en daarbij gaat het om zowel veiligheid als functionaliteit.
In het domotica-rapport doen de onderzoekers onder meer de aanbeveling om het updatebeleid van de domotica-apparaten over een langere tijd (bijvoorbeeld één of twee jaar) te onderzoeken. Dan kunnen met een hogere zekerheid uitspraken worden gedaan over de consistentie van het updaten na het bekend worden van beveiligingszwakheden. Naleving van het recht van consumenten op levering van updates is een van de verplichtingen waar de ACM op toeziet.
In navolging hierop hebben RDI en ACM besloten dat RDI onderzoekt of de apparaten na het beëindigen van het Dialogic-onderzoek door Dialogic en Creds nog updates hebben gekregen. Dit onderzoek ziet op de periode 30 juni 2022 tot 28 september 2023.
Conclusie
Het beeld ten aanzien van updates uit het eerdere onderzoek werd bevestigd. Van de fabrikanten die in het eerste onderzoek geen updates hebben verstrekt, heeft één fabrikant nu wel een update verstrekt. De fabrikanten die wel updates verstrekten zijn dit, op één fabrikant na, ook blijven doen.
Het onderzoek
In dit vervolgonderzoek zijn de apparaten uit het domotica-onderzoek opnieuw bekeken: 3 spaarlampen met hub, 3 babyfoons, 3 televisies, 3 thermostaten en 3 wasmachines.
Meetopzet
De apparaten zoals bekeken in het domotica-onderzoek zijn overgedragen aan de RDI en daar opgenomen in het IoT-testlab. De eventueel in het kader van dat onderzoek aangemaakte accounts en inloggegevens zijn niet overgenomen. Bij de controle op updates is het volgende proces gevolgd.
- Elk apparaat is uitgepakt en geïnstalleerd.
- Waar nodig is de bijbehorende app geïnstalleerd op een smartphone en is een profiel aangemaakt om met de app en het apparaat te kunnen werken.
- Het apparaat is aangezet en (indien mogelijk) verbonden met de bijbehorende app op de smartphone.
- Als het apparaat gekoppeld was met een in het eerdere onderzoek gebruikt profiel dan is het apparaat teruggezet naar de fabrieksinstellingen zodat het apparaat aan een nieuw profiel gekoppeld kon worden.
- Voor zover mogelijk werd dit alles gedaan zonder het apparaat te koppelen aan het WiFi netwerk van het testlab.
- Hierna is de software versie van het apparaat geregistreerd door deze op het apparaat zelf af te lezen of met behulp van de bij het apparaat horende app.
- Vervolgens is gezocht naar nieuwe updates voor de software. Als het voor het updaten van het apparaat nieuwe voorwaarden geaccepteerd dienden te worden, zijn deze geregistreerd. Na voltooiing van het updateproces is de nieuwe softwareversie van het apparaat geregistreerd.
Resultaten
In onderstaande tabel staan de resultaten van het onderzoek.
Apparaat |
Update tot 30-6-2022 [1] |
Update tussen 30-6-2022 en 29-9-2023 |
Smart lamp 1 |
Nee |
Nee |
Smart lamp 2 |
Ja |
Ja |
Smart lamp 3 |
Nee |
Ja |
Babyfoon 1 |
Nee |
Nee |
babyfoon 2 |
Nee |
Nee |
babyfoon 3 |
Nee |
Nee |
Televisie 1 |
Ja |
Ja [2] |
Televisie 2 |
Ja |
Ja |
Televisie 3 |
Ja |
Nee |
Thermostaat 1 |
Ja |
Nee |
Thermostaat 2 |
Nee |
Onbekend [3] |
Thermostaat 3 |
Ja |
Nee |
Wasmachine 1 |
Ja |
Ja |
Wasmachine 2 |
Ja |
Ja |
Wasmachine 3 |
Nee |
Nee [4] |
[1] Zie de bevindingen in: Dialogic en Creds, ‘Onderzoek domotica-apparatuur’ (onderzoek in opdracht van ACM en RDI), 31 augustus 2022.
[2] Update kon alleen geïnstalleerd worden na acceptatie van een nieuwe gebruikersovereenkomst.
[3] Deze thermostaat kon niet overgedragen worden op een nieuwe gebruiker en is niet onderzocht.
[4] In de bijbehorende app werd wel aangegeven dat een update beschikbaar was, maar deze werd niet geïnstalleerd.