Browsers in iot-apparaten jaren achter met updates

In dit artikel:

Onderzoekers van DistriNet aan de KU Leuven onder leiding van prof. Lieven Desmet waarschuwen dat ingebouwde webbrowsers in apparaten zoals tablets, smart-tv’s, spelconsoles en infotainmentsystemen in auto's een groot beveiligingsrisico vormen. Met een door hen ontwikkelde test werden 53 producten onderzocht; veel browsers bleken bij levering flink achter te lopen op actuele versies — soms meer dan drie jaar — en krijgen zelden of nooit beveiligingsupdates.

Terwijl desktop- en mobiele browsers regelmatig automatisch worden bijgewerkt, ontbreken die onderhoudsmechanismen bij veel embedded browsers. Bovendien is het voor consumenten vaak onduidelijk of en wanneer een fabrikant updates levert; sommige fabrikanten adverteren updates, maar die gelden niet per se voor de ingebouwde browser. De onderzoekers toonden aan dat de verouderde engines daadwerkelijk uitbuitbaar zijn en konden voor elk getest product veiligheidsproblemen aantonen.

Het team dringt er bij fabrikanten op aan structurele update- en transparantiebeleid in te voeren. De komende EU Cyber Resilience Act (vanaf december 2027) moet verplichtingen rond lifecycle-security brengen, maar veel producenten zijn daar volgens de studie nog ver van verwijderd. Consumenten hebben voorlopig weinig opties; het onderzoek loopt door en gebruikers kunnen hun eigen toestellen testen met een online tool van het team.