Hackers hebben stille toegang tot Siri en Google Now op je telefoon
Foto: Jim Merithew/Cult of Mac
Siri kan stilzwijgend tegen je worden ingezet dankzij een nieuwe hack die is ontdekt door Franse beveiligingsonderzoekers en waarmee aanvallers via een radio opdrachten kunnen doorgeven aan de digitale assistent.
De hack werkt ook op Google Now en gebruikt het koptelefoonsnoer als antenne om elektromagnetische golven om te zetten in signalen die in iOS en Android worden geregistreerd als geluid dat uit de microfoon komt. José Lopes Esteves en Chaouki Kasmie – de twee Franse onderzoekers die de hack ontdekten – schreven in hun krant dat hackers de aanval zouden kunnen gebruiken om Siri en Google Now ertoe te brengen de browser van de telefoon naar een malwaresite te sturen, of spam- en phishing-berichten naar vrienden te sturen.
"The sky is the limit hier", zegt Vincent Strubel, de directeur van hun onderzoeksgroep bij ANSSI. "Alles wat je via de spraakinterface kunt doen, kun je op afstand en discreet doen via elektromagnetische golven."
Klinkt gevaarlijk toch? Welnu, de radio-hack heeft een paar belangrijke beperkingen. Vooral hoe dicht een aanvaller bij een slachtoffer moet komen om de elektromagnetische golven uit te zenden. Je hebt ook wat omvangrijke uitrusting nodig om het te doen. Hier is een foto van de gereedschappen die nodig zijn voor de klus:
De hack maakt gebruik van een laptop met GNU Radio, een door USRP software gedefinieerde radio, een versterker en een antenne om elektromagnetische golven te genereren. Onderzoekers zeggen dat ze het allemaal in een rugzak kunnen stoppen en een bereik van 6,5 voet krijgen. Of een krachtigere versie met grote batterijen zou in een busje passen en het bereik uitbreiden tot maar liefst 16 voet. Niet bepaald discreet.
Om de hack uit te voeren, moet ook de koptelefoon met microfoon van het slachtoffer worden aangesloten. Siri bestaat al sinds de iPhone 4s, maar veel Android-telefoons hebben nog steeds geen Google Now. Het vereist ook dat slachtoffers volledig onoplettend zijn en niet kunnen zien dat Siri in een zombie werd veranderd.
Ook al is het hoogst onwaarschijnlijk dat hackers de methode van de Franse onderzoekers zouden gebruiken omdat er zijn betere alternatieven waarvoor je niet binnen 6 voet hoeft te zijn, het is nog steeds een indrukwekkend slim hacken. Google en Apple zijn beide op de hoogte gesteld van de kwetsbaarheid door de onderzoekers die adviseren om beter toe te voegen afscherming van koptelefoonsnoeren, of om gebruikers hun eigen aangepaste wekwoorden voor Siri en Google te laten maken Nutsvoorzieningen.
