Toegevoegd op: 28/07/2023

Let op! NUIT, oftewel Near-Ultrasound Inaudible Trojan, is een type aanval die kan worden ingezet om apparaten die spraakassistenten zoals Siri, Google Assistant, Cortana of Amazon Alexa gebruiken of aansturen, stil en op afstand over te nemen. Als gevolg hiervan kan elk apparaat dat spraakopdrachten accepteert, denk aan je telefoon, tablet of smart speaker, vrij spel krijgen. Het is belangrijk om je bewust te zijn van deze nieuwe aanvalsmethode en stappen te ondernemen om jezelf te beschermen. Lees 6 belangrijke veiligheidstips van onderzoekers in dit artikel van Digital Security Guide.

Een slimme speaker is ontworpen om naar jou luisteren, maar kan hij je ook afluisteren?

Amazon kwam onder vuur te liggen, nadat bekend werd dat ‘slimme speaker’ Amazon Echo in staat was mensen af te luisteren. Sterker nog, ze transcribeerden zelfs wat er gezegd werd. Grote techbedrijven achter apparaten die uitgerust zijn met Alexa, en soortgelijke apparaten, hebben sindsdien stappen ondernomen om meer te focussen op privacy. Toch is er een functie waarvan wij vinden dat iedereen ervan op de hoogte moet zijn.

Problemen met een ex

Recent klopte er iemand aan bij ESET, met de vraag of iemand kon controleren of haar apparaat wellicht was gehackt. Haar ex-partner had bepaalde informatie over haar leven en wist zelfs over privégesprekken die zij gevoerd had.

Haar telefoon en laptop werden eerst gecontroleerd, door er beveiligingssoftware op te laten draaien. Er werden geen vormen van malware of andere afwijkingen gevonden. Ze zei dat het was alsof haar gesprekken werden afgeluisterd en dat sommige dingen die ze alleen tegen anderen had gezegd letterlijk werden teruggekoppeld.

Daarna is er gecontroleerd op afluisterapparatuur, maar er werd niets ontdekt wat er niet zou moeten zijn. Totdat de interesse gewekt werd door de Amazon Echo Dot smart speaker van de familie, vooral toen zij vertelde wie er allemaal toegang toe had. Haar ex-partner had het apparaat namelijk twee jaar geleden ingesteld, toen ze nog samen waren, en ze hadden destijds allebei toegang tot de speaker via een gedeeld account, maar alleen zij maakte er nu nog gebruik van.

Haar Amazon-wachtwoord, maar ook andere accountwachtwoorden, waren niet gewijzigd sinds haar breuk met haar partner, dus dit was dit een goede plek om te beginnen met het doen van onderzoek. De vraag of het apparaat kon worden gebruikt om op afstand af te luisteren via de app door iemand met toegang tot het account speelde op. Want als dit het geval zou zijn, dan kunnen de gesprekken dus worden afgeluisterd. Er is ooit naar buiten gekomen dat dit mogelijk was bij de Amazon speakers, maar ESET’s Global Security Advisor Jake Moore wilde zelf testen of een Alexa-apparaat gebruikt kon worden als een afluisterapparaat.

Dus kocht hij een Alexa Echo Dot en zijn onderbuikgevoel bleek te kloppen.

Het privilegeprobleem

Sommige slimme apparaten kunnen zodra ze uit de doos worden gehaald, onmiddellijk worden ingeplugd en gebruikt met standaard – en dus meestal niet volledig veilige – instellingen. Jake geeft aan nooit een grote fan te zijn geweest van de standaard privacy- en beveiligingsinstellingen op de meeste (slimme) apparaten. Zelfs nadat Amazon en een aantal andere technologiereuzen zijn gedwongen hun instellingen te verbeteren, om gebruikers beter te beschermen tegen opdringerige praktijken van fabrikanten of derden.

Veel mensen beseffen niet hoe gemakkelijk de apparaten zelf kunnen worden gebruikt als spionage-instrumenten door de beheerder van het apparaat. Het is uiteraard geen beveiligingslek als een beheerder het kan inschakelen via een selectievakje. Kijk ook eens naar: Wet #6 in Microsofts Tien Onwrikbare Wetten van Beveiliging: “Een computer is slechts zo veilig als de beheerder betrouwbaar is”.

Dus, Jake stelde zijn Echo Dot in met een uniek en sterk wachtwoord en schakelde tweestapsverificatie in met behulp van een authenticator app, en verbond het met zijn telefoon. Ook het verbinden met zijn iPad ging met gemak en hij was relatief tevreden met de beveiliging,

In de app ging hij naar “Apparaten” en selecteerde zijn “Echo Dot” en “Instellingen” en schakelde vervolgens “Communicatie” in. Vervolgens tikte hij op de “Drop In” functie om deze in te schakelen. Toen terug in het tabblad “Communiceren”, hoefde hij alleen maar “Drop In” te selecteren, zijn Echo Dot te selecteren en hij was in staat om te luisteren naar de kamer waarin het zich bevond. Zo eenvoudig als wat. Hij heeft zelfs zijn Wi-Fi thuis uitgeschakeld en verbinding gemaakt via 4G om te bewijzen dat dit ook gemakkelijk kan vanaf een externe locatie.

Wanneer je Drop In aanzet en een ruimte afluistert, geeft de lichtring van het apparaat een draaiend groen licht en maakt het ook een klein ringgeluid om degenen in de kamer bewust te maken van de Drop In. Je kunt niet binnenvallen met dit licht en geluid uitgeschakeld, maar een nietsvermoedend slachtoffer hoort het misschien niet of denkt er gewoon niet aan.

Ook de logboeken van het apparaat werden gecontroleerd via de app, maar helaas waren er geen logs of iets dergelijks om te suggereren dat er iemand was “binnengevallen”, wat bewijs moeilijker maakt. Logs in Echo Dot-apparaten worden “Activiteit” genoemd, maar er is geen manier om het gebruik van de Drop In-functie te registreren.

De spion in smart speakers

Nu terug naar het verhaal over de ex-partner. Toen er gevraagd werd of er een kans was dat haar Echo Dot was gebruikt om mee te luisteren, leek het alsof ze een ‘gloeilamp-moment’ beleefde. Ze merkte op dat haar Alexa vaak gekleurde ringen liet draaien en ze nam aan dat de geluiden te maken hadden met in haar woorden: “haar stortvloed aan Amazon-aankopen” en andere meldingen.

Ze dacht dat Alexa gewoon naar trefwoorden luisterde, in plaats van iemand met haar wachtwoord toe te staan haar af te luisteren. Ze voelde zich onmiddellijk ongemakkelijk, veranderde haar wachtwoord en maakte haar telefoon het enige apparaat dat met haar Echo Dot kon worden gekoppeld.

Haar apparaat heeft sindsdien geen vreemde geluiden of lichtsignalen meer getoond, en ze zegt dat ze zich nu veel veiliger voelt.

Word je thuis afgeluisterd?

Er zijn tal van afluisterapparatuur op de markt, maar de afluisterapparatuur die zich in het zicht bevindt (en normaal gesproken niet als “afluisterapparatuur” wordt beschouwd) wordt vaak het meest gebruikt.

Daarom is het goed om deze tips te volgen bij het gebruik van slimme technologie:

  • Gebruik altijd sterke en unieke wachtwoorden
  • Schakel tweestapsverificatie in
  • Neem een kijkje in de instellingen van het apparaat
  • Maak alleen verbinding met de apparaten waartoe je toegang hebt
  • Onderhoud jouw accounts grondig. Configureer gebruikersrechten en verwijder accounts als ze niet nodig zijn
  • Wijzig het wachtwoord als je vermoedt dat iemand onbedoeld toegang heeft tot het account
  • Schakel het apparaat uit of schakel de luistermodus uit bij gevoelige gesprekken

iPhones als afluisterapparatuur?

Ten slotte, afgezien van de misschien meer voor de hand liggende apparaten zoals Smart Speakers, wist je dat Apple AirPods ook kunnen worden gebruikt als luisterapparatuur? Iemand hoeft hiervoor alleen maar een toegankelijkheidsfunctie genaamd ‘Live Listen’ op zijn iPhone in te schakelen. De iPhone kan dan gebruikt worden als afluisterapparaat voor degene die de Air Pods draagt. Wie zou bijvoorbeeld vermoeden dat een schijnbaar “vergeten” telefoon in een ruimte eigenlijk een opzettelijk aangebrachte “bug” is?