Oplichters kunnen je afluisteren met Alexa en Google Home
Niet alleen Google en Amazon kunnen de gesprekken via stembesturing beluisteren. Ethische hackers demonstreren hoe ze gebruikers kunnen afluisteren en misleiden met slimme luidsprekers.
Het gaat om een experiment van het Duitse Security Research Labs. Het team ontwikkelde acht ‘apps’ voor de spraakassistent: vier ‘skills’ voor Amazon’s Alexa en vier ‘actions’ voor Google Home. Allen moesten ze worden goedgekeurd door Google en Amazon, net zoals bij een app store.
Zeven van de acht apps deden zich voor als toepassingen waarmee je je horoscoop kan opvragen en één ervan was een nummergenerator. Allemaal werden ze goedgekeurd.
Je kan jouw keuzes op elk moment wijzigen door onderaan de site op "Cookie-instellingen" te klikken."
Je kan jouw keuzes op elk moment wijzigen door onderaan de site op "Cookie-instellingen" te klikken."
Op de achtergrond misbruikten de apps echter zwakke plekken van Google Home en Alexa om gebruikers te misleiden. Zo krijgt een gebruiker na het opvragen van zijn of haar horoscoop wel degelijk informatie over het sterrenbeeld, gevolgd door een ‘goodbye’ en het deuntje van Google Home. Dat doet de gebruiker vermoeden dat de actie is afgelopen, maar dat is niet het geval. Alles wat nadien gedurende een achttal seconden wordt gezegd, wordt doorgestuurd naar de app-ontwikkelaar.
Je kan jouw keuzes op elk moment wijzigen door onderaan de site op "Cookie-instellingen" te klikken."
Je kan jouw keuzes op elk moment wijzigen door onderaan de site op "Cookie-instellingen" te klikken."
De phishing-app heeft een licht andere aanpak. Hier krijg je als gebruiker bij het opvragen van je horoscoop te horen dat de functie niet beschikbaar is in je land. De app laat nadien een lange stilte vallen. Daardoor lijkt het dat de toepassing is gestopt. Na een minuut doet de app echter de stem van de spraakassistent na om zogezegd een update aan te kondigen. Om die te installeren moet de gebruiker zijn of haar wachtwoord inspreken.
Dergelijke updates vereisten nooit dat je je wachtwoord luidop tegen een spraakassistent zegt. Maar Security Research Labs wijst er op dat veel gebruikers dat waarschijnlijk niet weten en zo alsnog hun wachtwoord opgeven.
Security Reseach Labs heeft haar bevindingen gemeld aan Google en Amazon. Die hebben de apps in kwestie verwijderd en hebben aangegeven dat ze hun goedkeuringsproces zullen aanpassen om gelijkaardige aanvallen in de toekomst te voorkomen.
Fout opgemerkt of meer nieuws? Meld het hier