Amazon en Google dichten BlueBorne-lek in slimme speakers

Amazon en Google hebben het BlueBorne-lek gedicht in hun speakers Echo en Home. De speakers waren vatbaar voor de lekken in de bluetoothtechnologie, zo meldt het beveiligingsbedrijf dat BlueBorne aan het licht bracht.

Gebruikers van een Amazon Echo kunnen controleren of hun versienummer hoger is dan v591448720 om na te gaan of de patch binnen is, zegt Armis Labs. Bij Google Home is het onduidelijk hoe gebruikers kunnen controleren of de patch al op hun speaker staat. Volgens het beveiligingsbedrijf waren er rond twintig miljoen speakers kwetsbaar voor een aanval door middel van een van de kwetsbaarheden in BlueBorne.

BlueBorne maakt gebruik van acht zerodaykwetsbaarheden in de bluetoothimplementaties van verschillende besturingssystemen. Bij de Echo zaten er twee kwetsbaarheden in de software, bij Home was dat er eentje. Binnen zo'n tien seconden is het mogelijk om met de aanval een bluetoothapparaat over te nemen, zonder dat de gebruiker het doorheeft, luidt de claim. Bij speakers is er bovendien geen scherm om een interface weer te geven en er kan geen antivirussoftware op draaien, wat detectie veel lastiger maakt dan bij bijvoorbeeld smartphones, zegt het beveiligingsbedrijf.

Volgens de onderzoekers is het mogelijk om met behulp van de aanval bijvoorbeeld ransomware of malware te verspreiden naar andere bluetoothapparaten. Het is onbekend wat er had kunnen gebeuren als malware gebruik had gemaakt van deze kwetsbaarheden. Armis Labs claimt dat het de eerste ernstige kwetsbaarheid voor de Amazon Echo is, de speaker bleek tot nu toe vatbaar voor geen enkele aanval op afstand.

Reacties (27)

Verwijderd 16 november 2017 14:19

Dat mocht even duren zullen we maar zeggen? Dit issue is toch al wel een paar maanden publiekelijk een best wel serieus ding.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 09:06]

totaalgeenhard @Verwijderd • 16 november 2017 14:23

Want het was een groot probleem omdat er iemand die bezig was om in de buurt te komen van de miljoenen speakers?

Verwijderd @totaalgeenhard • 16 november 2017 14:30

Dat het uberhaupt kan lijkt mij persoonlijk ruimschoots voldoende motivatie om met de nodige druk zo'n issue te dichten. In tot hoeverre er daadwereklijk misbruik plaatsvond is, naast onmeetbaar, ook gewoon niet relevant zou ik stellen.

totaalgeenhard @Verwijderd • 16 november 2017 15:36

Als het je echt iets zou uitmaken ging je vooraf al nadenken waarom je een apparaat in je huis wilt hebben waar mee de grootste privacy schenders op aarde die toch al alles van je weet nu 24/7 in je huis mag mee luisteren..... en waar je zelf notabene voor betaald hebt.

Wat dat aangaat vind ik het geniaal hoe bedrijven zoals google het voor elkaar krijgen mensen te laten betalen voor devices die en hun privacy schenden en voor marketing gebruikt kan worden.

Koop een mi band 2 of andere bluetooth device en zie hoever je komt als dat keer dan 1 kamer verder is heb je of dunne muren (karton?) of superieur bluetooth device.

Ik weet niet hoeveel mensen jij in je tuin of huis ziet die jouw speaker willen hacken....

En als overheid het doet (buiten google om, wat duur en dus stom is) zul je er wel omgevraagd hebben.

Verwijderd @totaalgeenhard • 16 november 2017 15:50

Als het je echt iets zou uitmaken ging je vooraf al nadenken waarom je een apparaat in je huis wilt hebben waar mee de grootste privacy schenders op aarde die toch al alles van je weet nu 24/7 in je huis mag mee luisteren..... en waar je zelf notabene voor betaald hebt.

Wat dat aangaat vind ik het geniaal hoe bedrijven zoals google het voor elkaar krijgen mensen te laten betalen voor devices die en hun privacy schenden en voor marketing gebruikt kan worden.

Dat is dan in ieder geval bewust. Een buurman die inlogt op dat ding heb je geen weet van.

Koop een mi band 2 of andere bluetooth device en zie hoever je komt als dat keer dan 1 kamer verder is heb je of dunne muren (karton?) of superieur bluetooth device.

En wat weet ik dan?

Ik weet niet hoeveel mensen jij in je tuin of huis ziet die jouw speaker willen hacken....

Computer security is niet een kansenberekening als het op dit soort zaken aankomt dus nogmaals, hoeveel mensen "mijn speaker" willen hacken is irrelevant. Gaat er om dat ze het kunnen.

En als overheid het doet (buiten google om, wat duur en dus stom is) zul je er wel omgevraagd hebben.

Ik denk dat al die mensen die onder regimes en onderdrukking, of eigenlijk zelfs gewoon überhaupt een niet westerse of zelfs wel westerse achterkamertjes overheid daar een andere mening over zouden kunnen hebben.
Zeker mensen met een (voor een overheid) niet preferabele mening en publieke status.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 09:06]

totaalgeenhard @Verwijderd • 16 november 2017 16:56

Als je buurman wil luisteren zal hij geen moeite doen met je bluetooth.

Richt microfoon of microfoon in tuin/muur/boom doet wonderen.

Infosec is wel degelijk een optelsom, kosten/baten met een acceptabel rest risico. 100% bestaat niet en de grootste bedreiging is altijd de leverancier en diens medewerkers.

In niet westerse wereld zullen ze niet vrijwillig een speaker/microfoon plaatsen.

[Reactie gewijzigd door totaalgeenhard op 27 juli 2024 09:06]

Verwijderd @totaalgeenhard • 16 november 2017 20:47

Als je buurman wil luisteren zal hij geen moeite doen met je bluetooth.

Wel als dat een één twee drietje is.

Richt microfoon of microfoon in tuin/muur/boom doet wonderen.

Daarmee heb je nog geen toegang tot bijvoorbeeld het interne netwerk.
Veel succes ook om dat ongezien te doen.
Richtmicrofoon gaat ook niet zomaar even door een muur heen. Zeker niet voor een zacht bedrag.

Infosec is wel degelijk een optelsom, kosten/baten met een acceptabel rest risico. 100% bestaat niet en de grootste bedreiging is altijd de leverancier en diens medewerkers.

Alleen zo jammer dat er absoluut niets acceptabel is aan het in tact laten van een bekende exploit, zeker niet van deze order van grootte.

In niet westerse wereld zullen ze niet vrijwillig een speaker/microfoon plaatsen.

Je punt was dat de overheid alleen maar achter je aan zit als je wat op je kerfstok hebt, niet welke subsets van welke bevolking zo'n speaker in huis halen.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 09:06]

Wkrooshof @totaalgeenhard • 16 november 2017 15:57

[Reactie gewijzigd door Wkrooshof op 27 juli 2024 09:06]

totaalgeenhard @Wkrooshof • 16 november 2017 16:59

Je moet dingen niet in zelf verzonnen context plaatsen derhalve heeft het voor mij geen zin om op je verder verzonnen reactie te reageren.

Voor als je.het nog steeds niet begrijpt "duur en dus stom" slaat op inzet resource voor opsporing/inlichtingen doeleinden. Hacken van een speaker is onnodig tijdrovend en dus duur terwijl ze van afstand adres (en persoonsgericht) hetzelfde kunnen bewerkstelligen.

Draai jij wireshark op je openwrt router ? Wat zie je dan? Voorzover ik weet is het versleuteld verkeer en speech is hooguit 2kb/s wat met overhead van https niet zal opvallen.

[Reactie gewijzigd door totaalgeenhard op 27 juli 2024 09:06]

Wkrooshof @totaalgeenhard • 16 november 2017 17:13

[Reactie gewijzigd door Wkrooshof op 27 juli 2024 09:06]

totaalgeenhard @Wkrooshof • 16 november 2017 17:24

Heb je dat zelf geconstateerd ?

Zo ja waar heb jij je wireshark opdraaien (zie vorige suggestie)

jsnl @totaalgeenhard • 17 november 2017 14:16

//
Koop een mi band 2 of andere bluetooth device en zie hoever je komt als dat keer dan 1 kamer verder is heb je of dunne muren (karton?) of superieur bluetooth device.
Ik weet niet hoeveel mensen jij in je tuin of huis ziet die jouw speaker willen hacken....
En als overheid het doet (buiten google om, wat duur en dus stom is) zul je er wel omgevraagd hebben.

Valt best nog mee hoor dat bereik van Bluetooth.
Heb hier nu 5 weken BlueToothView van Nirsoft ingeschakeld op een el-cheapo BT USB-stick op PC op 1e verd. straatzijde; woon in klein dorpje van 3000 inwoners en heb toch in 5 weken 981 unieke BT devices gemonitord, veelal autoradio's, navi's, maar ook PC's en diverse units met BT.
Dus zien hoef je ze helemaal niet die BT kunnen monitoren.

Doe overigens helemaal niets ermee, buurman vindt die aandacht voor hacks op BT etc. maar overdreven; hij kijkt er nu al anders tegenaan!

friend @totaalgeenhard • 16 november 2017 14:51

Als het hacken zo snel gaat, dan kan je met langzaam rondrijden in een grote stad dus gemakkelijk gehacked worden (en misschien zelfs wel van de ene naar de andere speaker in grotere gebouwen). Daarmee kan de malware dus je gehele interne netwerk benaderen, afluisteren en doorgeven naar elke server op het internet en nog als bot dienen op de koop toe.
Als je dit geen veiligheidsrisico vindt, alleen omdat dit niet via internet gedaan kan worden, zet dan gelijk al je data maar online, want dat zal dan uiteindelijk toch wel gebeuren.

totaalgeenhard @friend • 16 november 2017 15:40

Zie me reactie hierboven.

friend @totaalgeenhard • 16 november 2017 16:38

Aangezien de speakers via Wifi (of ethernet) aan het interne netwerk en internet gekoppeld zijn zou malware hier ook gebruik van kunnen maken evt. via een ander connected device. Dat is meer dan alleen een koppeling tot stand brengen en de Bluetooth devices op de speaker monitoren. Op het moment dat je in een trusted omgeving bent nemen de mogelijkheden tot verdere penetratie enorm toe. Het bagatelliseren van een dergelijk kwetsbaarheid is niet erg slim.

totaalgeenhard @friend • 16 november 2017 17:10

Zoals ik al schreef waarom zorgen maken hierover als je al de keuze hebt gemaakt om het in huis te plaatsen.

De keuzen om het rechtstreeks in je netwerk te hangen maakt men ook zelf.

Doet me denken aan teamviewer of cloud ip camera gebruikers. Die vroeg of laat gaan klagen dat ze remote aangevallen kunnen worden.

Veel mensen hebben een chromecast of smartv terwijl dat ook bidirectionele communicatie toestaat.... en derhalve in theorie ook misbruikt kan (en in sommige gevallen al) worden.

En zodra je bi directioneel communicatie mogelijk is dien je te realiseren dat leverancier niet te vertrouwen is en dat misbruikers aldanniet werkzaam bij leverancier er misbruik van kan maken.

Nu kopen mensen dingen en eisen privacy en veiligheid.... je kunt een huis niet volhangen met kaarsen voor comfort en verwachten dat het nooit mis mag gaan.

Superkanjo @totaalgeenhard • 16 november 2017 22:51

Dus mensen die bewust een apparaat plaatsen die bij design op een bepaalde manier communiceert mogen niet zeuren wanneer dat apparaat iets toestaat wat bij design niet zo is?

Dus omdat ik mijn achterdeur niet op slot doe mag ik niet zeuren dat ze via de voordeur in komen breken?

Vexxon @totaalgeenhard • 16 november 2017 14:40

Vooral opvallend omdat Google zo streng is richting concurrenten met het publiceren van gaten in software.
Blijkbaar gelden die regels van Google alleen voor de rest maar niet voor Google zelf.

totaalgeenhard @Vexxon • 16 november 2017 15:39

Omdat het een feature is.

Bluetooth / wifi gebruikt google om meer van heb te weten te komen. Naast stem detectie, waarmee ze individuen in huishouden kunnen onderscheiden... detectie van welke tv zender, reclame je via tv/ radio aan het beluisteren bent aan geluid van wc weet wanneer je reclame gaat mijden.... weten ze ook welie devices er zijn.

Als ze gaan koppelen en zien dat jij tijdens reclame van wasmiddel of naar wc gaat en/of smartphone pakt/gebruikt kunnen ze toeslaan...

Kenhas @totaalgeenhard • 17 november 2017 08:01

En natuurlijk heb je daar allemaal bronnen van. Ik mis toch enkele bewijzen dat google daadwerkelijk bijhoudt welke tv zender je bekijkt, welke reclame je interessant vindt, ...

Waarom zouden ze daarvoor dan aparte producten ontwikkelen aangezien de helft van de wereld al rondloopt met een Android telefoon?

djwice

@Kenhas • 17 november 2017 15:25

Waarom zouden ze het naast via het Android toestel, niet ook via Home doen?

Voor mij is het bijna magie, als ik ergens over praat met een huisgenoot en we willen googlen over dat product of onderwerp, zijn vaak 1 of 2 letters genoeg voor de juiste auto complete.
Nou, zeg jij mij maar hoe ze dat kunnen zonder microfoon.

totaalgeenhard @djwice • 17 november 2017 15:42

Ze zijn helderziend en het is toeval

Wel knap dat ze elke kwartaal mijarden winst maken.....

djwice

@totaalgeenhard • 17 november 2017 15:45

LOL

djwice

@totaalgeenhard • 17 november 2017 15:21

Als je er een hackt kunnen die vervolgens alle binnen hun range hacken, welke dan weer alle binnen hun range kunnen hacken etc.

Controle over een microfoon in iemands huis, die ook toegang heeft tot het lokale netwerk en internet, potentieel tot creditcard gegevens (Amazon store), bestellingen kan doen, etc. is toch wel wat, of niet?

LeastTechnician 16 november 2017 14:20

In hoeverre mate is dit van toepassing op alle andere apparaten die ook bluetooth gebruiken? Zoals de telefoon waar ik dit nu op typ.

angelina @LeastTechnician • 16 november 2017 14:36

Je kunt in dit artikel lezen welke apparaten er nog meer last van hebben:
https://tweakers.net/.../miljarden-bluetooth-apparaten-zijn-volgens-onderzoekers-kwetsbaar-voor-aanval

jurriaan

16 november 2017 22:50

Volgens amazon is er geen nieuwere versie voor de 1e gen. echo dan v591448720

https://www.amazon.com/gp...lay.html?nodeId=201602210

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (27)

Sorteer op:

Weergave: