Beveiligingslek: Google Home-gebruikers kunnen via malafide apps afgeluisterd worden
Michel van 't Klaphek

Onderzoekers hebben een manier gevonden om Google Home-gebruikers af te luisteren zonder dat ze het doorhebben. Ook de Alexa van Amazon is kwetsbaar.

Zo kunnen hackers een Google Home afluisteren

Het beveiligingslek werd ontdekt door Security Research Labs, een Berlijns hackerscollectief. De onderzoekers omzeilen hierbij de beveiliging van beide slimme luidsprekers. Door het verwisselen van actiewoorden, zoals “stop” en “goodbye”, blijft de Google Home of Alexa op de achtergrond doorgaan met afluisteren.

De gebruiker wordt hier uiteraard niet van op de hoogte gesteld. Vervolgens worden de transcripten doorgestuurd naar de mensen achter de zwendel. Dit heet ook wel vishing, oftewel phishing, maar dan met een stemcommando. Phishing is de methode die criminelen gebruiken om te ‘vissen’ naar persoonlijke informatie van mensen.

In meerdere video’s zetten de beveiligingsonderzoekers uiteen hoe de kwetsbaarheid precies in elkaar steekt. Het komt erop neer dat ze meerdere Action on Google-uitbreidingen hebben gemaakt en vervolgens hebben aangepast. Actions on Google zijn een uitbreiding op de mogelijkheden van de Google Assistent. Je kunt zo bijvoorbeeld in contact komen met bedrijven als Albert Heijn en PostNL via een stemcommando.

Nadat de door de hackers gemaakte Actions on Google waren goedgekeurd, werd hun werking aangepast. Dit valt buiten de controle van Amazon en Google. Stemassistenten luisteren naar bepaalde stopwoorden zoals “Hey Google” om de opname te beginnen, of af te kappen. Deze stopwoorden werden stiekem door de beveiligingsonderzoekers aangepast om zo de Google Home te kunnen afluisteren.

Lees ook: Gids: Via deze Google Assistent Actions kom je in contact met bedrijven

Wachtwoord ontfutselen

Zodoende bleef de speaker (en Alexa) doorgaan met luisteren, ook al dacht de gebruiker dat het stemcommando al voorbij was. Ook konden de beveiligingsonderzoekers wachtwoorden van gebruikers ontfutselen. Hierbij wordt gedaan alsof de slimme speaker een beveiligingsupdate nodig heeft. In totaal hebben de hackers 8 beveiligingslekken in de Google Home en Alexa aangetoond.

Er zijn geen slachtoffers bekend van bovenstaande beveiligingslek. De onderzoekers hebben de kwetsbaarheden doorgespeeld naar Amazon en Google. Laatstgenoemde heeft de door de beveiligingsonderzoekers gemaakte Actions on Google inmiddels verwijdert. Ook de controleprocessen worden aangescherpt. Hetzelfde geldt voor Amazon.

Lees het laatste nieuws over Google

Draag ook bij aan dit artikel

Deel je kennis of stel een vraag. Dat kan anoniem of met een Disqus account.