Speakers van Sonos en Bose vanop afstand te hacken
Enkele speakers van Sonos en Bose zijn kwetsbaar voor hacking van buitenaf. Securitybedrijf Trend Micro stelde vast dat de slimme speakers op afstand over te nemen en te bedienen zijn door API’s te kapen . Het gaat onder andere over de Sonos Play:1, de Sonos One en het Bose SoundTouch systeem.
Gekaapt
[related_article id=”219691″]Trend Micro stuitte op de slecht beveiligde speakers door een internet scan uit te voeren en op zoek te gaan naar open netwerkpoorten. Dergelijke software is eenvoudig te vinden online en stelde hen in staat om enkele duizenden speakers op te sporen die aangesloten zijn op een onveilig geconfigureerd wifi-netwerk. Eens de digitale locatie van een speaker gekend, kon Trend Micro misbruik maken van een bug in het systeem om de toestellen over te nemen. De bug zorgt ervoor dat eender welk toestel op hetzelfde netwerk als de speaker toegang kan krijgen tot de API’s waarmee het toestel met apps als Spotify of Pandora verbindt. Het gaat om een relatief klein aantal speakers: circa 5.000 Sonos-toestellen en 500 Bose-systemen. Via deze methode konden de onderzoekers van Trend Micro eender welk audiobestand afspelen op de speakers.
In eerste instantie is dat niet erg risicovol. Het ergste wat kan gebeuren is dat iemand voor de grap muziek of geluiden afspeelt op je speaker. De onderzoekers wisten door de bug echter ook een Sonos One te manipuleren zodat ze stemcommando’s konden doorgeven aan digitale assistent Alexa. Zo zouden hackers bijvoorbeeld een slim slot kunnen openen of een alarmsysteem uitschakelen. Verder kunnen cybercriminelen door de toegang ook data over je speakergebruik stelen.
Sonos heeft ondertussen maatregelen genomen tegen de hack door een update uit te voeren die het lekken van data vermindert. Bose heeft nog niet gereageerd. De API-bug blijft voor alle getroffen speakers een probleem.
