Hoe je spraakassistent het werk van een hacker kan doen - zonder dat je er iets van hoort
Regelmatige lezers van Digital Security Guide zullen niet verbaasd zijn te lezen dat kwaadwillenden hun cyberaanvallen alsmaar blijven evolueren. Het is ook algemeen bekend dat kwaadwillende personen nieuwe gaten in het softwarepantser vinden, wanneer er kwetsbaarheden in de beveiliging worden gevonden en verholpen (helaas soms nadat er misbruik van is gemaakt).
Soms is het echter niet "zomaar" een achterpoortje in de beveiliging dat de krantenkoppen haalt, maar een nieuwe soort aanval. Dit was onlangs ook het geval met een nogal ongebruikelijke aanvalsmethode met de naam NUIT. Gelukkig werd NUIT ontdekt door onderzoekers en er zijn geen meldingen van iemand die het gebruikt voor grappen of zelfs cybercriminaliteit. Daarentegen, kan het geen kwaad om je bewust te zijn van een andere manier waarop je privacy en veiligheid in gevaar kunnen zijn - en ook van het feit dat NUIT in twee vormen kan voorkomen.
Wat is NUIT?
NUIT, oftewel Near-Ultrasound Inaudible Trojan, is een type aanval die kan worden ingezet om apparaten die spraakassistenten zoals Siri, Google Assistant, Cortana of Amazon Alexa gebruiken of aansturen, stil en op afstand over te nemen. Als gevolg hiervan kan elk apparaat dat spraakopdrachten accepteert, denk aan je telefoon, tablet of smart speaker, vrij spel krijgen. Uiteindelijk kan de aanval een aantal ernstige gevolgen hebben, variërend van een inbreuk op de privacy en verlies van vertrouwen tot zelfs het in gevaar brengen van de infrastructuur van een bedrijf, wat weer kan leiden tot grote financiële verliezen.
Volgens een team van onderzoekers van de Universiteit van Texas in San Antonio (UTSA) en de Universiteit van Colorado Colorado Springs (UCCS), werkt NUIT doordat microfoons in spraakassistenten kunnen reageren op bijna-ultrasone golven afgespeeld door een luidspreker. Ultrasoon geluid is een geluid met een te hoge frequentie voor het menselijk oor. Hoewel dit voor ons dus onhoorbaar is, zou dit geluidscommando de ‘always-on’ spraakassistent aanzetten tot het uitvoeren van een actie. Bijvoorbeeld het uitschakelen van een alarm of het openen van de voordeur, die is beveiligd met een ‘slim’ slot.
NUIT is zeker niet de eerste geluidsaanval die in de loop der jaren voor opschudding heeft gezorgd. Eerder zijn aanvallen met vergelijkbare namen beschreven - denk aan SurfingAttack, DolphinAttack, LipRead en SlickLogin, plus enkele andere onhoorbare aanvallen die ook gericht waren op smart-home assistenten.
Welke vormen van NUIT zijn er?
Zoals eerder aangegeven bestaat NUIT in twee vormen:
NUIT 1:
Dit is wanneer het apparaat zowel een bron als het doel van een aanval is. In zulke gevallen is het voldoende als een gebruiker een audiobestand afspeelt op zijn telefoon waardoor het apparaat een actie uitvoert, zoals het versturen van een sms met zijn locatie.
NUIT 2:
Deze aanval wordt uitgevoerd door een apparaat met een luidspreker, naar een ander apparaat met een microfoon, bijvoorbeeld van je pc naar een smart speaker.
Een voorbeeld: je bekijkt een webinar via Teams of Zoom. Een gebruiker kan het geluid uitschakelen en een geluid afspelen dat vervolgens door je telefoon wordt opgepikt, waardoor deze een gevaarlijke website bezoekt en het apparaat met malware besmet.
Een andere mogelijkheid is dat je YouTube-video's afspeelt op je telefoon via je luidsprekers, waarna de telefoon een ongewenste actie uitvoert. Vanuit het perspectief van de gebruiker vereist deze aanval geen specifieke interactie, wat het nog erger maakt.
Tactieken en voorzorgsmaatregelen tegen NUIT-aanvallen
Wat is er nodig om zo'n aanval uit te voeren? Niet veel, want om NUIT te laten werken, moet de luidspreker van waaruit het wordt gelanceerd boven een bepaald volumeniveau staan en moet het commando minder dan een seconde duren (0,77s).
Bovendien moet je spraakassistent natuurlijk zijn ingeschakeld. Volgens de onderzoekers waren van de 17 geteste apparaten alleen de Siri-apparaten van Apple moeilijker te kraken. Dit komt omdat een hacker eerst je unieke stemgeluid moet stelen om de telefoon opdrachten te laten accepteren.
Daarom zou iedereen zijn assistent zo moeten instellen dat hij alleen met zijn eigen stem werkt. Je kunt ook overwegen om je stem assistent uit te schakelen als je hem niet nodig hebt; houd je cyberbrein in de gaten als je IoT-apparaten gebruikt, want allerlei slimme gadgets kunnen een gemakkelijke prooi zijn voor kwaadwillenden.
6 belangrijke veiligheidstips van onderzoekers tegen NUIT-aanvallen
De onderzoekers raden gebruikers de volgende tips aan:
1: Scan je apparaten op willekeurige microfoonactiveringen
Zowel Android- als iOS-apparaten geven microfoonactivering weer, meestal met een bepaald teken, zoals een stip of microfoontje, in het bovenste gedeelte van het scherm.
2: App-machtigingen controleren
Overweeg om je app-machtigingen voor microfoontoegang te controleren, want niet elke app hoeft je omgevingsgeluid te horen. Om dit te controleren kan je de volgende stappen volgen: Ga naar instellingen> Privacy > Microfoon> Controleer of de app uitgeschakeld is.
3: Naar audio luisteren met oordopjes of headsets
Luister naar audio met oordopjes of headsets, want op die manier is de kans kleiner dat je geluid deelt met je omgeving, wat je beschermt tegen een aanval van deze aard.
4: Houd al je apparaten up-to-date
Zorg er ook voor dat alle software, besturingssystemen en applicaties in het bedrijfsnetwerk up-to-date zijn met de nieuwste beveiligingspatches en updates. Door systemen bij te werken, minimaliseer je de kans op een succesvolle aanval.
5: Schakel tweefactorauthenticate (2FA) in op al je online accounts
Het voordeel van tweefactorauthenticatie is dat het een extra laag van beveiliging toevoegt aan je online accounts en gegevens. Het gebruikt twee verschillende factoren om je identiteit te verifiëren, meestal iets wat je weet (zoals een wachtwoord) en iets wat je hebt (zoals je mobiele telefoon). Er wordt tijdens het inloggen bijvoorbeeld een code verstuurd naar je mobiele telefoon, die als extra beveiligingslaag dient.
6: Maak gebruik van betrouwbare beveiligingssoftware op al je apparaten
Er zijn verschillende betrouwbare beveiligingssoftwareprogramma’s beschikbaar die je kunnen helpen om je computer en gegevens te beschermen tegen verschillende vormen van kwaadaardige activiteiten. De keuze voor beveiligingssoftware is afhankelijk van je specifieke behoeften, het besturingssysteem dat je gebruikt en je persoonlijke voorkeur. Daarnaast is het verstandig om regelmatig software-updates uit te voeren en je besturingssysteem en andere software up-to-date te houden om ervoor te zorgen dat je de nieuwste beveiligingsfuncties en -patches hebt.
NUIT kan apparaten met spraakassistenten op afstand overnemen door gebruik te maken van ultrasone geluidsgolven. Het is belangrijk om je bewust te zijn van deze nieuwe aanvalsmethode en stappen te ondernemen om jezelf te beschermen.