Nieuwe lekken in digitale assistenten Alexa en Google Home

Echo, de verbinding met Alexa

Echo verbindt je met Alexa (die in de wolken is) (afb: Amazon)

Veiligheidsonderzoekers van SRLabs hebben ontdekt dat het mogelijk is gesprekken af te luisteren tussen gebruikers en de digitale assistenten van Google en Amazon. Dat is niet handig, want daarmee kan de afluisteraar ook allerlei persoonlijke gegevens zoals toegangscodes opvangen of zelfs de regie overnemen.
Het is niet de eerste keer dat het mis is bij dat dit tweetal. Bij hun demonstratie gebruikten de onderzoekers een toepassing die is ontwikkeld door derden: Skills bij Alexa. In het eerste geval gaat het om het vragen van een wachtwoord aan de gebruiker. Daarvoor gebruikten de aanvallers een nieuwe versie van hun toepassing. Google en Amazon controleren de veiligheid van een toepassing alleen de eerste keer en niet bij nieuwe versies.
Het is voor een aanvaller dan een koud kunstje om zijnhaar slag te slaan door zijnhaar toepassing te veranderen. “Deze skill is in uw land niet beschikbaar”. Krijgt een gebruiker dan te horen. De gebruiker denkt dan dat de toepassing niet goed functioneert, maar het systeem blijft wel geactiveerd. Dan komt een boodschap dat er een nieuwe versie is en of je de toepassing wilt bijwerken. Je moet je wachtwoord geven. Als de toepassing dan wordt herstart loopt alles via de aanvallers.
De andere manier om binnen te komen heeft te maken met de toegang tot apparaten die met Alexa samenwerken. Om daar toegang te krijgen roept de gebruiker bepaalde woorden voorgesteld door de ontwikkelaar van een ‘skill’. Daarmee kan je woorden gebruiken voor bepaalde functies.

Onuitspreekbaar

De onderzoekers ontdekten dat het mogelijk is een onuitspreekbare volgorde van letters aan een commando toe te voegen. Als een gebruiker dan met, bijvoorbeeld, ‘goedendag’ denkt afscheid te nemen en de boel zou moeten afsluiten zorgt die toevoeging er voor dat die toch open blijft

Bij Google Home wordt iets soortgelijks gedaan door een stilte toe te voegen aan een commando of een onuitspreeksbare reeks letters, waardoor de aanvaller alle gesprekken kan volgen. Hijzij kan zelfs de boel overnemen. De twee deskundigen hebben Google en Amazon op de hoogte gebracht (zoals te doen gebruikelijk). Google repareerde het lek meteen, maar Amazon was niet zo vlug.

Bron: Futura-Sciences

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.