Onderzoekers hebben een manier gevonden om Google Home-gebruikers af te luisteren zonder dat ze het doorhebben. Ook de Alexa van Amazon is kwetsbaar.
Lees verder na de advertentie.
Zo kunnen hackers een Google Home afluisteren
Het beveiligingslek werd ontdekt door Security Research Labs, een Berlijns hackerscollectief. De onderzoekers omzeilen hierbij de beveiliging van beide slimme luidsprekers. Door het verwisselen van actiewoorden, zoals “stop” en “goodbye”, blijft de Google Home of Alexa op de achtergrond doorgaan met afluisteren.
De gebruiker wordt hier uiteraard niet van op de hoogte gesteld. Vervolgens worden de transcripten doorgestuurd naar de mensen achter de zwendel. Dit heet ook wel vishing, oftewel phishing, maar dan met een stemcommando. Phishing is de methode die criminelen gebruiken om te ‘vissen’ naar persoonlijke informatie van mensen.
In meerdere video’s zetten de beveiligingsonderzoekers uiteen hoe de kwetsbaarheid precies in elkaar steekt. Het komt erop neer dat ze meerdere Action on Google-uitbreidingen hebben gemaakt en vervolgens hebben aangepast. Actions on Google zijn een uitbreiding op de mogelijkheden van de Google Assistent. Je kunt zo bijvoorbeeld in contact komen met bedrijven als Albert Heijn en PostNL via een stemcommando.
Nadat de door de hackers gemaakte Actions on Google waren goedgekeurd, werd hun werking aangepast. Dit valt buiten de controle van Amazon en Google. Stemassistenten luisteren naar bepaalde stopwoorden zoals “Hey Google” om de opname te beginnen, of af te kappen. Deze stopwoorden werden stiekem door de beveiligingsonderzoekers aangepast om zo de Google Home te kunnen afluisteren.
Lees ook: Gids: Via deze Google Assistent Actions kom je in contact met bedrijven
Wachtwoord ontfutselen
Zodoende bleef de speaker (en Alexa) doorgaan met luisteren, ook al dacht de gebruiker dat het stemcommando al voorbij was. Ook konden de beveiligingsonderzoekers wachtwoorden van gebruikers ontfutselen. Hierbij wordt gedaan alsof de slimme speaker een beveiligingsupdate nodig heeft. In totaal hebben de hackers 8 beveiligingslekken in de Google Home en Alexa aangetoond.
Er zijn geen slachtoffers bekend van bovenstaande beveiligingslek. De onderzoekers hebben de kwetsbaarheden doorgespeeld naar Amazon en Google. Laatstgenoemde heeft de door de beveiligingsonderzoekers gemaakte Actions on Google inmiddels verwijdert. Ook de controleprocessen worden aangescherpt. Hetzelfde geldt voor Amazon.
Lees het laatste nieuws over Google
- YouTube ziet er nu kleurrijker uit op de Chromecast met Google TV (1-12)
- Hoe zit het met privacy in Android Auto? (30-11)
- Oude smartphone? Binnenkort geen Chrome en Google Agenda meer (28-11)
- Let op: Google verwijdert oude Gmail-accounts vanaf 1 december (27-11)
- “Nieuwe” Google Maps-app nu ook op Android Auto (27-11)
