Apps van stemassistenten kunnen gebruikers afluisteren
Sommige mensen beginnen niet aan slimme speakers en soortgelijke producten, waar een microfoon op zit, omdat ze bang zijn dat bedrijven en kwaadwillenden kunnen luisteren naar wat er gezegd wordt. In het verleden hebben we gezien dat dit inderdaad voorgekomen is bij bijvoorbeeld de Google Assistent, en nu zien we dat onderzoekers, zogenaamde ethische hackers, skills en actions aan Amazon Alexa en Google Assistent hebben kunnen toevoegen die het afluisteren zonder grenzen mogelijk maakt.
De onderzoekers leggen hiermee een probleem bloot. Amazon en Google bekijken een skill of action wel wanneer die voor het eerst ingediend wordt. Maar updates worden niet onder het vergrootglas genomen. De apps in kwestie worden bijvoorbeeld als horoscopen of nummergenerators aangeboden, ogenschijnlijk veilige diensten waar gebruikers gedachteloos gebruik van kunnen maken. En na het aanspreken van zo’n app lijkt er aanvankelijk ook niets aan de hand te zijn en doen de apps wat ze moeten doen.
Maar direct na het gebruik kunnen mensen een foutmelding ontvangen, waarna een stilte volgt. Op dat moment kun je de indruk krijgen dat de dienst niet meer werkt. Ondertussen blijft de skill of action luisteren naar wat er in de buurt gezegd wordt. Maar het kan ook zijn dat er wordt beweerd dat een dienst niet beschikbaar is in jouw regio, waarop wederom stilte volgt. In de stem van Alexa of de Assistent wordt dan geroepen dat er een update beschikbaar is voor de speaker en dat je die moet autoriseren door je wachtwoord uit te spreken.
Omdat de stemmen van de populaire stemassistenten nagebootst worden, is het lastig voor gebruikers om door te hebben dat er een phishingaanval plaatsvindt. Gelukkig gaat het hier om ethische hackers en zijn de acht apps inmiddels verwijderd. Wat ze hebben aangetoond is in elk geval zorgwekkend, helemaal omdat je dergelijke apps niet hoeft te downloaden. Door een skill of action aan te spreken, krijg je toegang tot een dienst — maar andersom krijgt zo’n dienst dus ook toegang tot de gebruiker.
Reacties (0)