Hackers nemen smartphones over via Google Assistent en Siri: dit is hoe

Vibraties zo hoog dat je ze niet kunt horen: via ultrageluid kunnen telefoons overgenomen worden en taken uitvoeren zonder dat je het weet. Van iets meer dan negen meter afstand kunnen Google Assistent en Siri commando’s ontvangen wanneer je je smartphone gewoon op tafel hebt liggen.

Dat laten onderzoekers weten, die deze nieuwe aanvalsmethode de SurfingAttack noemen. De onderzoekers leggen uit dat door gebruik te maken van de unieke, akoestische eigenschappen van solide materialen, meer commando’s gegeven kunnen worden vanaf een afstand. SurfingAttack stelt aanvallers in staat sms-berichten te lezen, telefoontjes te plegen en meer — en dat terwijl de eigenaar van de telefoon hier niet bewust van is.

Smartphones gehackt via Google Assistent en Siri

De onderzoekers hebben meerdere video’s online geplaatst. Zo wordt onder meer laten zien hoe een eerste generatie Google Pixel-telefoon selfies maakt en sms-berichten voorleest (waaronder de belangrijke codes voor tweestapsverificatie). De smartphone reageert op onhoorbare commando’s vanuit een speaker die vast zit aan een tafel, gekoppeld aan een computer die niet in beeld te zien is.

De Pixel belt op een gegeven moment een oudere iPhone. Vervolgens vraagt een computerstem om een bepaalde, geheime code, die Siri zonder te aarzelen geeft aan de spookbeller. De aanval werkte op vijftien van de zeventien geteste smartphones. waaronder vier iPhones (5, 5s, 6 en X), de eerste drie Google Pixels, drie Xiaomi’s (Mi 5, Mi 8 en Mi 8 Lite), de Samsung Galaxy S7 en S9 en de Huawei Honor View 8. Het lukte echter niet op de Samsung Galaxy Note 10 Plus en Huawei Mate 9; twee telefoons met een licht gebogen achterkant.

Mocht je geen telefoon met een licht gebogen achterkant hebben, dan raden de onderzoekers aan om je telefoon op een zachte, geweven stof neer te leggen of een hoesje te kopen dat gemaakt is van niet vaak voorkomende materialen, zoals hout. Bovendien is het verstandig om de stemassistent, bijvoorbeeld de Google Assistent of Siri, uit te schakelen wanneer de telefoon vergrendeld is. Dan weet je zeker dat ze ook nergens op kunnen reageren terwijl je daar niet van af weet.

Er zitten nog wel andere haken en ogen aan de aanvalsmethode via ultrageluid. Zo moet de vibratie natuurlijk klinken als je eigen stem, maar met goede machine learning-software kan dat probleem snel opgelost worden. Daarnaast reageren de Assistent en Siri vaak op stemcommando’s, waardoor je aandacht vanzelf naar je telefoon getrokken wordt. Echter, een stil commando kan ook vragen of de volume van je smartphone omlaag kan. De geteste tafels waren gemaakt van metaal, glas en hout. Een simpel telefoonhoesje deed weinig goeds voor de bescherming van de gebruiker.

Op dit YouTube-kanaal kun je nog veel meer video’s bekijken van de aanval.

Tom's Guide

Reageer op artikel:
Hackers nemen smartphones over via Google Assistent en Siri: dit is hoe
Sluiten