Een fout in Google Nest-speakers maakte het voor hackers mogelijk om gebruikers af te luisteren, malware te installeren en hun smarthome-apparaten vanop afstand te bedienen. Google heeft de fout in april 2021 verholpen.
Lees verder na de advertentie.
Google Nest-kwetsbaarheid
Twee jaar geleden ontdekte beveiligingsonderzoeker Matt Kunze een ernstige kwetsbaarheid voor Google Nest-speakers. Hij kon vanop afstand toegang krijgen tot Nest-speakers aan de hand van een zogenaamd ‘rogue-account’ voor Google Home. Zo werd het mogelijk om onder meer gebruikers af te luisteren, hun smarthome-apparaten over te nemen en schade aan te richten op telefoons.
Kunze stelt in zijn onderzoek dat Nest-speakers zijn gebouwd volgens de architectuur van Chromecasts. Volgens hem zijn de streamingsticks nooit sterk beveiligd tegen aanvallen van hackers die zich fysiek in de buurt van een slachtoffer bevinden. De schade zou namelijk beperkt blijven tot het streamen van video’s in het huis van het slachtoffer.
Zo werkt de hack
Toch is de potentiële schade voor Nest-speakers veel groter. Nadat een hacker malware op de telefoon van een slachtoffer heeft geïnstalleerd, kan zo’n malafide app van een kwetsbaarheid gebruik maken om een rogue-account van de hacker te verbinden met de Nest-speaker. De hacker moet zich daarvoor in de buurt van het slachtoffer bevinden, want hij moet met een thuisnetwerk kunnen verbinden.
Zodra het rogue-account is geïnstalleerd, is het voor de hacker mogelijk om een gezin af te luisteren nadat hij via een routine een telefoongesprek heeft begonnen. Met een beetje moeite kunnen hackers ook onder meer slimme deursloten kraken en slimme schakelaars bedienen. De schade kan groot zijn. Je kan de volledige methode van de beveiligingsonderzoeker hier lezen.
Verhoogde beveiliging
Google heeft de fout in april 2021 verholpen en de beveiliging van zijn smart speakers werd verder aangescherpt. Het is bijvoorbeeld nu niet langer mogelijk om via routines een telefoongesprek te starten met een smart speaker. Het is niet bekend of hackers ook effectief misbruik hebben gemaakt van de kwetsbaarheid.
Matt Kunze stelt in zijn bevindingen dat hackers via zijn gebruikte methode nooit toegang konden krijgen tot het Google-account van gebruikers en ook andere apparaten die met hetzelfde wifi-netwerk zijn verbonden, bleven veilig. De kwetsbaarheid was ook alleen aanwezig bij smartspeakers van Google, want de Nest Hub-software is beveiligd met een WPA2-wachtwoord.
Wil je op de hoogte blijven van het laatste nieuws over beveiliging? Download dan onze Android-app en volg ons via Google Nieuws en op Telegram, Facebook, Instagram en Twitter.
De populairste artikelen over beveiliging
- Tip: dwing Google Chrome om alle websites met HTTPS te laden
- Let op: de bewegingssensor van je telefoon kan jou afluisteren
- Zo gaat Google Chrome je beschermen tegen onveilige downloads
- LastPass-wachtwoorden gestolen: dit moet je doen
Reacties
Inloggen of registreren
om een reactie achter te laten