google nest audio home hackers afluisteren

Een ethisch hacker merkte een zwakte op waardoor Google Home-speakers makkelijk afgeluisterd konden worden. Het probleem werd reeds opgelost.


In 2021 was beveiligingsonderzoeker en ethisch hacker Matt Kunze aan het experimenteren met een Google Home Mini-smartspeaker. Hij kwam erachter dat het toen heel makkelijk was om nieuwe gebruikers toe te voegen vanuit de Home-app. Met een gelinkt Google-account is er veel mogelijk, waaronder het beheren van andere smart home-apparaten, routines instellen voor je apparaten en zelfs telefoongesprekken voeren.

Na alle mogelijkheden te ontdekken, vroeg Kunze zich af hoe makkelijk het is om een account aan de Google Home-speaker te linken. Dat bleek heel makkelijk te zijn. Door simpelweg fysiek dichtbij de speaker te zijn, kon hij een account linken zonder zelfs verbonden te zijn met hetzelfde wifi-netwerk. Daarvoor hoefde Kunze enkel de Home-speaker op afstand in setup-modus te zetten, een ander Google-account te linken en de speaker terug verbinden met het thuisnetwerk.

Zodra het andere account gelinkt is, kan een persoon met kwade bedoelingen alles doen wat de reguliere Home-gebruiker ook kan. De theoretische hacker kan zelfs een telefoongesprek beginnen via de speaker en zo de omgeving afluisteren. In dat geval worden de lichtjes van de Google Home-speaker wel blauw, maar als de gebruiker de functie niet kent, denkt die misschien dat de speaker met een achtergrondproces bezig is. Omdat de speaker verbonden kan zijn met andere apparaten op het wifi-netwerk, raken zowel die apparaten als het gehele netwerk in gevaar.


Beloning van meer dan 100.000 dollar

Kunze maakte de zwakte bekend aan Google in maart 2021, nadat hij het probleem ontdekte in januari van dat jaar. Google betaalde hem daarvoor 107.500 dollar, omgerekend 100.626 euro. Kunze beschreef het hele proces onlangs in een blogpost. Google zou het probleem in april 2021 al hebben verholpen. Zo kan de setup-modus nog wel vanop afstand geactiveerd worden, maar kan er via die weg geen account meer gelinkt worden. Het starten van telefoongesprekken is op de eerder gebruikte manier ook niet meer mogelijk. De gesprekken kunnen namelijk geen deel meer gemaakt worden van een routine.