Wesley Akkerman
Wesley Akkerman | LinkedIn Home 22 okt 2019

Google Assistent en Amazon Alexa kunnen wachtwoorden afluisteren en doorsturen

Ethische hackers hebben aangetoond dat goedgekeurde apps voor Amazon Alexa en Google Assistent ingezet kunnen worden voor het afluisteren en doorsturen van gevoelige informatie, zoals wachtwoorden. Deze apps (skills voor Alexa en actions voor de Assistent) worden aangeboden als andere applicaties, zoals een horoscoop of nummergenerator. Ondertussen luisteren ze op de achtergrond mee, op zoek naar je wachtwoorden.

Ars Technica schrijft dat de apps allemaal op een soortgelijke manier te werk gaan. In het geval van de horoscopen kan een gebruiker vragen naar een specifiek sterrenbeeld. Hoewel je wel antwoord op je vraag krijgt, komt er ook een neppe foutmelding naar voren. De apps geven de indruk dat ze niet meer werken, terwijl ze in feite wachten op de volgende fase van de werkmethode.

Wachtwoord hardop uitspreken

Het kan ook zijn dat een taak correct uitgevoerd wordt of dat je handmatig “stop” roept, waarna de apps dus niets meer van zich laten horen. Met dit commando kun je de skills van Amazon Alexa in één keer stopzetten. Ondertussen luisteren de applicaties mee en slaan ze op wat ze kunnen horen.

Amazon Echo Link Amp Alexa
Amazon Echo Link Amp Alexa (Bron: Amazon)

Het kan ook zijn dat een skill of action aangeeft dat de app niet beschikbaar is in jouw regio. Vervolgens krijg je na een minuut stilte te horen dat je wel een update kunt downloaden voor het apparaat dat je op dat moment gebruikt, bijvoorbeeld een Google Home- of Amazon Echo-speaker. Het vervelende hieraan is dat de hackers in staat waren de stemmen van Amazon Alexa en de Google Assistent na te bootsen, waardoor je dus niet meteen doorhebt dat er een phishingaanval plaatsvindt. De stem raadt aan opnieuw in te loggen met je account door je wachtwoord hardop uit te spreken.

Google en Amazon machteloos

Alle acht de applicaties zijn inmiddels verdwenen en zijn dus niet meer te gebruiken. De onderzoekers wilden hiermee enkel aantonen dat het kán dat apps dergelijke praktijken inzetten voor het vergaren van gevoelige informatie. En het vervelende is dat zowel Amazon als Google hier weinig aan kunnen doen, zeker wanneer hun systemen de apps gewoon doorlaten. Bovendien is het zo dat gebruikers zelf niets hoeven te downloaden – door het commando te geven krijg je toegang tot de skills en actions, waarna het kwaad helaas al geschied is.

Het is dus belangrijk dat je altijd weet met wie je spreekt, ook als het gaat om digitale assistenten. Geef nooit zomaar je gegevens uit handen, helemaal niet wanneer daar om gevraagd wordt door een slimme speaker. In alle gevallen is het zo dat je gevoelige informatie, zoals inloggegevens, invoert via een app, zoals bijvoorbeeld de Google Home-app. Zowel Amazon als Google hebben aangegeven het proces van apps doorlaten opnieuw te bekijken en aan te passen waar nodig.

ARS Technica

Reageer op artikel:
Google Assistent en Amazon Alexa kunnen wachtwoorden afluisteren en doorsturen
Sluiten