Tech

'Apps voor slimme speakers kunnen gebruikers afluisteren'

Bastiaan Vroegop • 22 oktober 2019 09:38

Beeld ©

Apps voor de slimme speakers van Google en Amazon kunnen gebruikers via een truc afluisteren. Ook zou het makkelijk zijn om phishing-apps voor de speakers uit te brengen.

Beide vormen van misbruik werden ontdekt door SRLabs, dat de techgiganten eerder dit jaar op de hoogte bracht van de ontdekkingen. Het lek zit in de apps die andere ontwikkelaars voor de slimme speakers kunnen maken, aldus ZDNet.

Zo'n app kan een lange stilte laten vallen na een commando. Hierdoor blijft de microfoon meeluisteren naar wat je zegt, terwijl je het idee hebt dat de app al is afgesloten. 

Zolang je iedere dertig seconden iets zegt, blijft zo'n app stilletjes meeluisteren met je gesprekken. De inhoud van die gesprekken wordt vervolgens verstuurd naar de maker van de app voor de stemassistent.

In een tweede voorbeeld beschrijft het beveiligingsbedrijf een phishingaanval voor stemassistenten. Bij het opstarten van een app krijg je een foutmelding van Google te horen, waarna de assistent vraagt of je jouw gebruikersnaam en wachtwoord wil dicteren. Die worden daarna naar de aanvaller verstuurd.

Apps worden niet zomaar voor stemassistenten aangeboden. Google en Amazon moeten ze eerst met de hand goedkeuren voordat ze via een stemcommando geactiveerd kunnen worden. Volgens SRLabs worden updates voor die apps echter niet gecontroleerd. Een internetcrimineel kan in theorie een legitieme app laten goedkeuren, om er daarna afluister- of phishingsoftware van te maken.

Google en Amazon zeggen de getoonde beveiligingslekken inmiddels te hebben gedicht, maar volgens SRLabs is dat niet het geval. Het is volgens de onderzoeker nog steeds mogelijk om een lange stilte in een stemcommando te laten vallen, die misbruikt kan worden om af te luisteren.

Google belooft de acties van alle externe apps nog eens nader te onderzoeken, terwijl Amazon belooft dat er wordt gescand op mogelijk misbruik. 

Sonos en Google Assistant: hoe werkt het?

Volg Bright op YouTube voor meer tech-video's

Bron • Bright