Schiphol hangt vol met bluetooth beacons. Deze kunnen worden gebruikt door apps om indoor je locatie te bepalen of om je een bericht te versturen. En bij die laatste functie is er een probleem.
De beacons op Schiphol zijn niet geregistreerd bij Google, waardoor in principe iedereen deze kan registeren en een bericht kan versturen naar aanwezige gebruikers van Android-toestellen. Zo’n bericht wordt voorzien van een link en in principe kan een gebruiker daarmee naar een kwaadaardige website worden gestuurd. Dat ontdekte ontwikkelaar Hugo Visser, die zijn verhaal vertelt tegen Androidworld.
Beacons registreren
In Android 4.4 KitKat voegde Google Nearby Notifications toe voor bluetooth beacons. Deze functie houdt in dat eigenaars van een beacon bij Google kunnen aangeven dat een notificatie moet worden gestuurd als iemand in de buurt is. Dit is bedoeld om een app te adverteren. Zo zou je op Schiphol bijvoorbeeld een melding kunnen krijgen dat je de Schiphol-app kunt downloaden. Of als je de Albert Heijn binnenloopt zou je een melding kunnen krijgen over de app van Albert Heijn.
Een nuttige functie, maar doordat het vliegveld zijn beacons niet heeft geregistreerd, kon Visser dit alsnog doen. En dus zelf een boodschap instellen. Hij koos voor een onschuldige kerstboodschap, maar in principe kan een crimineel je ook een link sturen waarmee je malware installeert of je naar een phising-website sturen. Google doet overigens wel een automatisch check of de link niet kwaadaardig is, maar dit is uiteraard geen garantie.
Reactie Schiphol
Visser vindt dit erg slordig van de luchthaven:
Ze hebben op Schiphol ‘cutting edge’ tech geïnstalleerd zonder de ontwikkelingen bij te houden kennelijk.
Een woordvoerder van Schiphol erkent het probleem tegenover NU.nl. De luchthaven gaat alle 2000 beacons die het heeft alsnog registeren bij Google, verzekert Schiphol.
Nearby Notifications uitschalen
Waarschijnlijk komt het probleem op veel meer plaatsen voor dan op Schiphol, maar dit is wel een plek waar heel veel beacons hangen en heel veel mensen komen.
Wil je als Android-gebruiker geen risico lopen of zit je überhaupt niet te wachten op notificaties van bedrijven als je de buurt bent: bij de Google-instellingen onder het kopje ‘Services’ kun je de berichten uitzetten. Daarnaast krijg je de optie om de functie uit te schakelen wanneer je voor het eerst zo’n notificatie ontvangt.