Ingebouwde webbrowsers in tablets, smart tv’s, spelconsoles en auto’s vormen een ernstig veiligheidsrisico. Dat blijkt uit onderzoek van de KU Leuven. De browsers draaien vaak op sterk verouderde software en krijgen zelden of nooit beveiligingsupdates, waardoor gebruikers kwetsbaar zijn voor digitale aanvallen.
Het DistriNet-onderzoeksteam van KU Leuven, onder leiding van professor Lieven Desmet, ontwikkelde een test om de browserversies in verschillende apparaten te controleren. In een eerste fase werden 53 producten onderzocht, van e-readers en tablets tot infotainmentsystemen in auto’s.
De bevindingen zijn alarmerend. In veel gevallen bleek de ingebouwde browser bij levering al gebaseerd op een verouderde versie, met achterstanden tot meer dan drie jaar. Waar browsers op computers en smartphones minstens maandelijks automatisch worden bijgewerkt, gebeurt dat bij embedded browsers vaak helemaal niet. ‘Het grote probleem is niet dat deze browsers slechte beveiliging hebben. Het probleem is dat ze geen updates ondergaan. Net dat onderhoud is nodig om gebruikers te beschermen tegen nieuwe risico’s en beveiligingslekken’, oppert professor Desmet.
Fabrikanten misleiden consumenten
Het onderzoek wijst ook op een gebrek aan transparantie. Consumenten kunnen vaak moeilijk of helemaal niet nagaan of hun toestel beveiligingsupdates krijgt. Sommige fabrikanten die gratis beveiligingsupdates adverteren, voorzien die blijkbaar niet voor de ingebouwde browser.
De onderzoekers toonden aan dat de verouderde browsers daadwerkelijk kwetsbaar zijn. ‘We slaagden erin door de beveiliging te breken en konden veiligheidsproblemen aantonen voor elk van deze browsers’, aldus computerwetenschapper Gertjan Franken, die bij het onderzoek betrokken was.
EU-wetgeving moet verbetering brengen
De onderzoekers roepen fabrikanten op om structurele updates en transparantie prioriteit te geven. De EU Cyber Resilience Act, die vanaf december 2027 verplicht tot goede cybersecurity tijdens de hele levenscyclus van digitale producten, moet hierbij helpen. Het onderzoek toont echter aan dat heel wat fabrikanten nog ver van die norm verwijderd zijn.
Voor consumenten is er momenteel weinig aan te doen. ‘De fabrikant voorziet vaak geen software-updates die ook de ingebouwde browser updaten. Er zijn dus vaak gewoonweg geen browser-updates beschikbaar’, zegt Franken. Het onderzoeksteam zet de studie voort en nodigt consumenten uit om hun eigen toestellen te testen via een online tool.
