Virtuele assistenten zoals Siri en Alexa maken ons leven verbazingwekkend eenvoudiger – maar ze kunnen ons ook kwetsbaarder maken. Volgens onderzoekers van de Universiteit van Michigan en de Universiteit van Electro-Communicatie, Tokio, kan een beveiligingslek in de microfoons van de assistenten onze apparaten (en onze privacy) in gevaar brengen. Hun studie, vorig jaar gepubliceerd in een paper, onthulde dat hackers spraakgestuurde apparaten zoals iPhones kunnen overnemen met hulpmiddelen die zo simpel zijn als laserpointers. FYI, Siri is niet het enige dat je telefoon een doelwit maakt voor hackers.

Hoe een laserpointer je iPhone kan hacken

Geloof het of niet, apparaten met virtuele assistenten zoals Siri reageren op lichtgolven op dezelfde manier als ze doen op geluidsgolven, zo bleek uit de studie. Door een laserstraal op de microfoon te richten, konden de onderzoekers een apparaat misleiden om opdrachten te accepteren alsof het een verbale hint had gehoord. “Het is net alsof je ‘spreekt’ over een lichtstraal, op zo’n manier dat de microfoon het kan ‘horen’, maar je oren natuurlijk niet”, zegt Randy Pargman, senior director voor Binary Defense, een cyberbeveiligingsbedrijf.

Na zeven maanden te hebben besteed aan het testen van de hack op apparaten die zijn ingeschakeld met Google Home, Amazon’s Alexa en Apple’s Siri, ontdekten de onderzoekers dat ze lichtcommando’s van honderden meters afstand konden verzenden met items variërend van laseraanwijzers van $ 14 tot zaklantaarns. Mis deze andere cyberbeveiligingsgeheimen niet die hackers niet willen dat je weet.

Wat dit betekent voor persoonlijke beveiliging

Zodra een hacker een spraakgestuurde assistent kaapt, kunnen ze toegang krijgen tot alles waarvoor een spraakopdracht nodig is. Degenen die Siri gebruiken om simpelweg een boodschappenlijstje bij te houden of hen het weer te vertellen lopen weinig risico, aldus Pargman. Maar deze aanval “is veel zorgwekkender voor mensen die hun beveiliging gekoppeld hebben aan spraakopdrachten,” zegt hij. De hacker zou in staat zijn om beveiligingssystemen in huis uit te schakelen, online artikelen te bestellen met behulp van opgeslagen creditcardgegevens of zelfs toegang te krijgen tot medische apparaten die zijn gesynchroniseerd met de assistent.

Deze aanval kan ook werken door de laser door een raam te schijnen, wat zorgen baart over de veiligheid wanneer gebruikers niet thuis zijn. In één geval stuurden onderzoekers met succes lichtcommando’s door een raam naar een Google Home in een ander gebouw op meer dan 200 meter afstand. Je zou ook verrast kunnen zijn om deze 7 alarmerende dingen te leren die hackers kunnen doen als ze je e-mailadres hebben.

Is dit ooit echt gebeurd?

Gelukkig zeiden de onderzoekers dat ze geen gevallen kennen waarin een aanvaller lichtcommando’s heeft gebruikt om een apparaat te besturen. Hoewel de studie deze techniek in verschillende real-world scenario’s demonstreerde, merkte Pargman op dat het moeilijk zou zijn om te repliceren. “Het vereist precies de juiste combinatie van een geraffineerde aanvaller die veel moeite zou doen om in te breken in een huis en een slachtoffer dat veel beveiligingsapparaten heeft aangesloten via zijn digitale assistent”, zegt hij. “Het vereist ook dat de digitale assistent in de buurt van een raam wordt geplaatst, zichtbaar voor een nabijgelegen locatie waar de aanvaller zijn apparatuur kan opstellen.”

In de hoop toekomstige aanvallen te voorkomen, hebben de auteurs van de studie hun bevindingen gedeeld met bedrijven waarvan de producten kwetsbaar zijn, waaronder Amazon, Apple, en Google. De bedrijven hebben gezegd dat ze het potentiële beveiligingsprobleem zullen onderzoeken, maar hebben gebruikers gerustgesteld dat een dergelijke aanval onwaarschijnlijk is. Ontdek welke van uw smart home-apparaten het meest kwetsbaar is.

Hoe bescherm je je iPhone

Bang voor je privacy? Om uw iPhone te beschermen tegen aanvallen van licht, raadt Pargman u aan om hem uit de buurt van ramen te houden en hem niet buiten te laten liggen waar anderen erbij kunnen. “Als een laser geen rechtlijnig pad van buiten naar de microfoon heeft, kan deze niet worden gebruikt”, zegt hij. Hetzelfde geldt voor andere spraakgestuurde apparaten zoals Alexa en Google Home.

Gebruikers moeten ook goed nadenken over de privacyimplicaties van het hebben van een spraakgestuurd apparaat in huis, volgens Pargman. Iedereen, van cybercriminelen tot huisbezoekers tot kinderen, kan opdrachten geven aan een virtuele assistent, dus “wees slim over hoeveel controle je ze geeft over je veiligheid en de dingen waar je om geeft”, adviseert hij.

Dat gezegd hebbende, kun je er zeker van zijn dat de kans dat een laser je apparaat kaapt klein blijft. “Ik denk dat lezers deze techniek eerder in een spionagefilm of roman zullen zien verschijnen dan dat ze dit soort aanvallen zullen meemaken,” zegt Pargman. Kijk uit voor deze rode vlaggen die aangeven dat iemand je telefoon bespioneert – daar is geen laserpointer voor nodig.

Bronnen:

• LightCommands.com: “Laser-Based Audio Injection on Voice-Controlble Systems”
• The Michigan Engineer News Center: “Onderzoekers nemen controle over Siri, Alexa, en Google Home met lasers”
• Randy Pargman, senior directeur voor Binary Defense
• The Washington Post: “Hackers kunnen je iPhone of slimme speaker kapen met een eenvoudige laseraanwijzer – zelfs van buiten je huis”