Veroudering ingebouwde webbrowsers leidt tot veiligheidsrisico’s

KU Leuven-onderzoek legt onnodige risico's bloot door ontbreken veiligheidsupdates van webbrowsers in alledaagse toestellen

Ingebouwde webbrowsers in toestellen zoals tablets, spelconsoles en auto's lijken op het eerste zicht veilig. Een studie van KU Leuven toont echter aan dat die browsers vaak werken met sterk verouderde software zonder de nodige veiligheidsupdates. Gebruikers merken daar meestal niets van, maar lopen intussen wel een verhoogd risico op hacking.

Digitale toestellen bevatten vaak een ingebouwde browser die websites opent of online inhoud toont. Denk aan een smart tv waarop je video's op groot scherm toont of een e-reader waarop je ook dingen kan opzoeken. Die ingebouwde browsers zien eruit als gewone browsers, maar velen krijgen zelden of nooit beveiligingsupdates. Daardoor kunnen ze kwetsbaar zijn voor hacking, zelfs als gebruikers ze slechts beperkt gebruiken.

Browsers op toestellen zoals tablets, spelconsoles en smart tv's lijken vaak sterk op de Chrome of Firefox op je computer of smartphone. Het verschil is dat browsers op computers en smartphones minstens maandelijks automatisch worden bijgewerkt met broodnodige beveiligingsupdates, terwijl browsers op die andere toestellen dat vaak niet doen. Hierdoor lopen gebruikers een verhoogd risico op digitale aanvallen.

^{Computerwetenschapper Gertjan Franken}

Vaak al verouderd bij levering, gebrek aan transparantie

De onderzoekers ontwikkelden een gebruiksvriendelijke test waarmee mensen zelf kunnen nagaan welke versie van de browser in hun toestel geïnstalleerd is. Er werden in een eerste fase 53 verschillende producten getest, van tablets en e-readers over smart tv's, spelconsoles tot infotainmentsystemen in auto's.

In veel gevallen bleek dat de browser in het toestel bij levering al gebaseerd was op een verouderde versie. In sommige gevallen liep dat verschil op tot meer dan drie jaar. Daarnaast is het als consument vaak moeilijk of zelfs onmogelijk om na te gaan of de ingebouwde browser van een toestel beveiligingsupdates zal krijgen. Fabrikanten zijn niet transparant en geven zelfs misleidende informatie. Zo toonde het onderzoek aan dat sommige fabrikanten, die gratis beveiligingsupdates voor hun toestel adverteerden, de browser niet van beveiligingsupdates voorzagen.

Niet enkel gebruiksgemak voorop stellen

Steeds meer mensen gebruiken toestellen met ingebouwde browsers, vaak zonder dat ze het beseffen. Deze studie toont dat die browsers op het vlak van veiligheid sterk achterlopen, ook al zien ze er modern en betrouwbaar uit.

De onderzoekers roepen fabrikanten op om niet alleen aandacht te besteden aan vormgeving en gebruiksgemak, maar ook aan structurele updates en transparantie over beveiliging. Daarbij kan de EU Cyber Resilience Act een belangrijke factor zijn. Deze Europese maatregel verplicht fabrikanten vanaf december 2027 tot goede cybersecurity tijdens de hele levenscyclus van digitale producten, inclusief beheer van kwetsbaarheden en beveiligingsupdates. Met dit onderzoek toont KU Leuven aan dat er voor heel wat fabrikanten nog een lange weg te gaan is.

Blijf toestellen testen

Door de beperkte transparantie van fabrikanten kan je als consument helaas weinig doen om je product beter te beveiligen. "De fabrikant voorziet vaak geen software-updates die ook de ingebouwde browser updaten. Er zijn dus vaak gewoonweg geen browser-updates beschikbaar", aldus Franken. De onderzoekers zullen het onderzoek verderzetten om het probleem verder op te volgen en in kaart te brengen.

Wie interesse heeft kan deelnemen aan onze studie om erachter te komen of hun browser up to date is of niet. Op einde van automatische tests wordt de deelnemer geïnformeerd over de staat van de browser.

^{Professor computerwetenschappen Lieven Desmet}