Slimme speakers worden steeds meer geadopteerd. In Nederland heeft 6 procent van de huishoudens bijvoorbeeld zo’n apparaat staan, bleek in mei uit onderzoek van Multiscope. Maar die speakers komen met hun eigen risico’s. Zo blijkt nu dat de versies van Google en Amazon voor onder meer phishing gebruikt kunnen worden, schrijft The Verge.
De kwetsbaarheid die dit mogelijk maakt werd ontdekt door beveiligingsonderzoekers van SRLabs. Het gaat om een fout in de slimme speakers van Google en Amazon, waarmee hackers gebruikers kunnen afluisteren of dus phishing-aanvallen kunnen uitvoeren.
De hackers kunnen namelijk malafide software uploaden die vermomd is als een Alexa skill of een actie voor Google. Die software kan er vervolgens voor zorgen dat de speakers stilletjes gebruikers opnemen of gebruikers vragen om hun wachtwoord voor het Google-account.
Zo werkt het
De beveiligingsonderzoekers hebben in een serie video’s getoond hoe de hack precies werkt. Daaruit blijkt dat de malafide software een fout misbruikt in de spraakassistenten, waardoor deze langer bleven luisteren dan normaal.
De onderzoekers gaven de assistenten hiervoor een reeks karakters die ze niet uit kunnen spreken. Daardoor zeggen de apparaten niks, maar blijven ze wel luisteren voor volgende commando’s. Alles wat jij in de tussentijd zegt, wordt automatisch uitgeschreven en naar de hacker verstuurd.
Om de fout te misbruiken, moeten hackers je echter wel eerst zo ver krijgen dat je software van een derde partij download voor de spraakassistent. Het is dus goed om je altijd bewust te zijn dat dergelijke software niet per definitie veilig is, en de software na gebruik ook weer te verwijderen als je het verder niet meer nodig hebt.
Niet misbruikt
Er is overigens geen bewijs dat de fout ook daadwerkelijk misbruikt is in het wild. De onderzoekers hebben hun bevindingen bovendien voor publicatie bij Google en Amazon gemeld.
Amazon laat tegenover Ars Technica weten dat het maatregelen heeft genomen, waardoor skills niet langer dit soort dingen kunnen doen. Wordt gedrag zoals door de onderzoekers gedemonstreerd geïdentificeerd, dan wordt de skill verwijderd.
Google laat daarnaast weten dat het een review-proces heeft om dergelijk gedrag te herkennen. De acties die de beveiligingsonderzoekers gebruikten, zijn nu verwijderd. Google doet bovendien een intern onderzoek naar alle acties van derde partijen. Een deel daarvan is tijdelijk uitgeschakeld tijdens het onderzoek.