Kwetsbaarheid in Sonos-speakers maakte het mogelijk om audio af te luisteren

Onderzoekers hebben een kwetsbaarheid in Sonos-speakers ontdekt waarmee het mogelijk was om van afstand de microfoon te activeren en audio-opnames te ontfutselen. De fabrikant heeft het probleem eind vorig jaar opgelost.

Het gaat om de kwetsbaarheid CVE-2023-50809. Daarmee zou een aanvaller op afstand code kunnen injecteren. Volgens Sonos bevond de kwetsbaarheid zich in een draadloze driver die bij het uitvoeren van een WPA2-handshake bepaalde informatie niet goed kon valideren. Op dat moment kon een aanvaller op wifiafstand code uitvoeren in de kernel.

Onderzoekers van NCC Group beweren in een whitepaper dat ze hiermee Sonos One- en Era 100-speaker konden overnemen, in het geheim audio konden opnemen, en die opnames vervolgens konden doorsturen naar hun servers. In een video tonen de onderzoekers hoe dit in zijn werk gaat.

De onderzoekers hebben Sonos vorig jaar op de hoogte gesteld van het probleem. De fabrikant heeft de kwetsbaarheid verholpen in Sonos S2-versie 15.9 en Sonos S1 11.12. Die werden in oktober en november 2023 uitgebracht. MediaTek, de maker van de wifichip die in de speakers wordt gebruikt, kwam in maart ook met een fix. Het bestaan van de kwetsbaarheid is nu pas openbaar gemaakt.

Reacties (93)

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

10 augustus 2024 13:45

Goed onderzoek dat gelijk de risico's van "slimme" speakers aantoont. Het afluisteren van dergelijke apparaten werd lange tijd door veel mensen, ook hier op Tweakers, afgedaan als "onzin". Een onderzoek als dit helpt hopelijk om meer awareness te krijgen op dit gebied.

De volgende kwetsbare apparaten worden in de CVE genoemd:

This affects Amp, Arc, Arc SL, Beam, Beam Gen 2, Beam SL, and Five.

Update: Sonos geeft inmiddels dit aan als affected systems:

1. Impacted Products

All S1 and S2 Systems.
Affected versions: All releases prior to Sonos S2 release 15.9, and Sonos S1 release 11.12

[Reactie gewijzigd door Bor op 11 augustus 2024 12:07]

Stpan @Bor • 10 augustus 2024 14:48

Ik ga er voor het gemak vanuit dat álles dat aan het internet hangt en een microfoon of camera heeft kan worden afgeluisterd. De vraag is niet 'of' maar 'wanneer' jouw product in het nieuws komt.

Ik heb alsnog apparatuur met een microfoon, dus wat dat betreft loop ik bewust risico.

Maar dan, wie ben ik nou helemaal? Niet politiek actief. Niet stinkend rijk. Niet bekend. Oftewel, niemand is geïnteresseerd. Net zoals nog niemand heeft geprobeerd bij me in te breken. Oftewel het risico dat ik word afgeluisterd door kwaadwillenden lijkt me nihil. (Ik heb overigens geen enkele 'voice' dienst aanstaan, maar sluit ook niet uit de hardware fabrikanten illegaal 'samples' nemen. Wederom, kleine kans dat dit bij mij zal zijn).

Dan de impact:
Krijgen ze te horen dat ik strijd met mijn kinderen heb over schermtijd.
Discussie met mijn vrouw over wie de autosleutels op de verkeerde plek heeft gelegd.
En kunnen ze analyseren dat ik een enorm saai burgerleven heb.

Let wel, ik zeg niet dat ik er OK mee ben als mensen me zouden afluisteren. Het is niet zo dat ik omdat hoegenaamd ik niets te verbergen heb dat ik dan maar alle ramen en deuren open wil zetten en iedereen maar alles van me mag weten
Maar dit is mijn risico/impact analyse. Mocht het gebeuren dan is dat een vervelende inbreuk op mijn privacy. Maar echte schade zou ik niet lopen. Nog liever had ik dat mijn Sonos Arc helemaal geen microfoon had. Ook al staat die software matige zogenaamd uit.

Was ik wel bekend, politiek actief of stinkend rijk. Dan zou ik andere apparaten hebben, een veiliger netwerk en een telefoon voor entertainment (en 'entertainment' en mijn minnaressen die ik dan wel zou aantrekken) en apparte zeer goed beveiligde telefoon voor mijn dagelijkse activiteiten als bekend persoon, politicus of zaakjes die me rijk hadden gemaakt.

[Reactie gewijzigd door Stpan op 10 augustus 2024 14:55]

mrwiggs @Stpan • 10 augustus 2024 15:22

Als men een profiel van je kan maken, weten ze hoe ze je kunnen beïnvloeden (bijv op wie te stemmen). Als dit met een massa gebeurt is het zeker wel gevaarlijk.

Ronald38 @mrwiggs • 10 augustus 2024 16:02

Hoe zouden ze een profiel kunnen maken en mij dan ergens op laten stemmen? Krijg ik dan de hele dag reclame van een bepaalde politieke partij?

oltk @Ronald38 • 10 augustus 2024 23:00

Jouw data is geen data. Maar van 18 miljoen mensen data ophalen maakt hele fijne statistiek. En dan hoor jij ineens in een statistische cluster waarop microtargetting kan worden afgevuurd. Jij krijgt niet persoonlijke fanmail van Poetin of Xi, maar je hebt eraan bijgedragen dat een mooi profiel van verschillende groepen mensen kon worden gemaakt. Lees maar eens het verhaal na van Cambridge Analytica.

Darknight @oltk • 10 augustus 2024 23:20

Heb je een praktijkvoorbeeld van die microtargetting waar je het over hebt?

oltk @Darknight • 10 augustus 2024 23:32

Er is veel disussie over de effectiviteit. Maar vooruit:
Een algemeen verhaal over microtargeting: https://news.mit.edu/2023...olitics-tailored-ads-0621 en https://policyreview.info...owards-pragmatic-approach

Een beschrijving van de casus CA, en de werking van microtargetting: https://www.cmplaw.it/wp-...bridge-Analytica-Case.pdf

Een kritische paper, die stelt dat microtargetting goed werkt, maar de methode via CA niet bewezen is: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4843786

En de nieuwe dreiging (ook al gespot door de AIVD en voor gewaarschuwd) door AI in te zetten en zo wél effectieve technieken in te zetten: https://academic.oup.com/...ticle/3/2/pgae035/7591134

edit: stomme typfout

[Reactie gewijzigd door oltk op 11 augustus 2024 12:15]

Darknight @oltk • 11 augustus 2024 01:20

Is te veel tekst ga ik allemaal niet lezen, en ik was meer benieuwd naar jouw woorden maar toch bedankt.

n4m3l355 @Darknight • 11 augustus 2024 04:56

Wij hebben honderduizenden klanten in onze crm waarvan we weten waar ze ernaar kijken, hoelang ze erna kijken, wat ze kopen, waar ze wonen, gezinssamenstelling, inkomsten. Via diverse platformen zijn wij in staat om soortgelijke potentiële klanten te targeten op basis van leeftijd, locatie (wij combineren gemiddelde kosten van een woning in steden), gezinssamenstelling en hun inkomsten met advertenties. In ons geval praat je nog steeds over honderduizenden impressies per dag per stad, maar om je een idee te geven hoe we targeten.

Wij passen ook advertenties aan op gebied, sommige gebieden hebben namelijk andere voorkeuren dan andere.

karma4 @n4m3l355 • 11 augustus 2024 11:17

Het is een bekende reeks, onderbouwd veel van waarvan men bang is dat anderen het weten maar op anderen manieren prima in te schatten valt.
Acceptabele foutmarge per geval iets boven de 20% neem ik aan.

oltk @Darknight • 11 augustus 2024 12:16

Dat zou ik ook hebben eerlijk gezegd. Vandaar mijn (hele) korte uitleg erbij zodat je een idee krijgt van de inhoud van de artikelen.

karma4 @oltk • 11 augustus 2024 11:14

Je zoekt het veel te ver. De politieke academie was met microtargeting bezig. Je hoort er niets meer over.
Ophef via de media werkt veel beter en zodra men vast in een overtuiging zit treedt er lock-in op.
Ai is enkele een hulpmiddel voor fraaie onzinnige beelden. De ophef onvoorspelbaar

oltk @karma4 • 11 augustus 2024 12:18

Ik probeer in mijn reeks artikelen dan ook de kritische verhalen aan het voetlicht te brengen. Er waren nog kritischer verhalen, maar als die bij FOX vandaan komen heb ik het gevoel dat er veel bias bij kan zitten. Niet dat ik dat helemaal kan uitsluiten, maar toch.

batjes @karma4 • 11 augustus 2024 15:51

Nee hoor, nu heb ik niet alle bronnen hierboven gelezen. Maar het is mensen al gelukt om via Google's Adsense mensen individueel te kunnen targetten. Hoe ver denk je dat de grote spelers al zijn als een stel knullen dit op een zondagmiddag met een beetje pielen in de voor elke adverteerder beschikbare tools voor elkaar krijgen.

We mogen het geluk hebben dat het niet financieel rendabel is om die paar buitenbeentjes mee te nemen in al die algoritmes, waardoor mensen die minimale moeite doen om dat bespioneer een beetje tegen te gaan er nog redelijk vrij van blijven.

Maar het is best schikbarend hoe makkelijk veel mensen te sturen zijn, die groeiende publieke onrust m.b.t. corona, blm en de groeiende achterlijkheid met vogels die niet echt zijn, aarde is plat, vaccinaties zijn slecht. Is daar het directe het resultaat van. Google, Facebook/Meta, X/Twitter etc.... ze zijn er al jaren mee bezig.

karma4 @batjes • 11 augustus 2024 17:22

Wat je moet doen is:
- stuur meer dat naar ze op
- maak van de inhoudt wat je raakt een zooitje

Big data met targeting gaat om wat op elkaar lijkt en daarmee hetzelfde gedrag in grote lijnen zal vertonen. Moeilijker is het, en het is zeer menselijke cultuur.
Zekerheid is niet nodig het is zoals een waarzegger het spel speelt. Met geringe informatie naar de mond praten wat aan de andere kant gewenst is. Dat met corona platte aarde ik heb het mogen aanschouwen, nee ligt niet aa social media. Er is al iets wat vanouds broeit en met die gewenste bevestigingen doorzet.
Voor corona kwam dat in een specifiek geval op een heel bijzonder manier naar boven, totaal iets anders dan je zou verwachten.

Beetje phyton klooien met gegevens is tegenwoordig standaard bij opleidingen in tienertijd.
Ik kijk niet op van de media ophef zoals ooit de y2000 oplossing op het flopje in de media.
Laten we zelf nu niet in de overdrijvingsrabbithole stappen

Stpan @mrwiggs • 10 augustus 2024 15:44

Daar ben ik me zeker van bewust. Maar van alle data die men al heeft.

Hoe groot is dan kans dat ze nog meer data van me verzamelt via een gehackt apparaat? En wat zal die data zeggen?

Mijn sociale media zijn een veel rijkere en legale bron, in vergelijking tot illegaal verkregen audio vanuit mijn huis. En die audio* is ook nog eens veel lastiger te verwerken in mijn profiel dan mijn lidmaatschap van de Facebook pagina 'dit is heel erg erg!'.

*Ik snap dat audio te verwerken is, niet voor niets probeert Big Tech allerlei assisten door je strot te duwen. En ik neem aan dat sommige diensten Sonos betalen om microfoons in hun producten te doen en hun dienst te promoten. Zoiets als de Netflix knop op je afstandbediening.

[Reactie gewijzigd door Stpan op 10 augustus 2024 15:46]

Orangelights23 @Stpan • 10 augustus 2024 22:09

Ik heb te veel red teaming opdrachten gedaan en geleid om te weten hoeveel informatie je kunt achterhalen door gewoon iemand thuis te volgen. Dat je niet interessant bent, is naïef. Het gaat om het gemak: als zij perfect weten wat bepaalde triggers bij jou zijn, of jouw stem kopiëren met AI om je vrouw met jouw stem te bellen en vragen of ze wat geld over maken, dan gaat het om gemak. Idem ditto bij hacks bij bedrijven, die zijn voornamelijk op gemak gebaseerd. Uitzonderingen zijn hacktivisten, maar het meerendeel pakt geld waar geld te halen valt.

jkrol @Stpan • 10 augustus 2024 15:15

Het is jouw eigen afweging, daar kan ik niet veel van vinden. Ik kan je wél aanraden om een boek als deze eens te lezen, als je denkt dat je niets of weinig te verbergen hebt.

Stpan @jkrol • 10 augustus 2024 15:20

Dank voor de tip!

Ik ga hem zeker lezen, en bedenken of dat iets met mijn risico-afweging gaat doen.

Als ik besluit dat microfoons een no-go zijn, hebben we thuis wel een probleem. 2 smart speakers, 1 TV, 1 iPod, 1 iPad, 1 android telefoon (prive) en 2 iPhones (werk) moeten dan het huis uit.
Edit: vergat de afstandbediening van de Apple TV, mijn Sony draadloze koptelefoon (2x) nog. En heeft een PS4 controller nou ook een microfoon? Of alleen een speakertje?

Misschien dat ik ook wel een beetje de struisvogel op de kaft van het boek ben.

[Reactie gewijzigd door Stpan op 10 augustus 2024 15:24]

Anoniem: 718943 @Stpan • 10 augustus 2024 18:42

Maar dan, wie ben ik nou helemaal? Niet politiek actief. Niet stinkend rijk. Niet bekend. Oftewel, niemand is geïnteresseerd.

Dit komt aardig in de buurt van "Ze mogen alles van me weten, ik heb toch niets te verbergen." Dwz. Privacy afdoen als iets onbelangrijks omdat je toch niet in de kwetsbare doelgroep zit.

Stpan @Anoniem: 718943 • 11 augustus 2024 03:00

Bewust risico nemen, is zeker niet hetzelfde als okay zijn dat mijn gegevens of gesprekken worden afgeluisterd.

Als ik in een vliegtuig stap neem ik ook een zeer bewust risico. Uiteraard ben ik er niet okay mee als dat ding daadwerkelijk neerstort.

Mijn strekking is dat als je 100% privacy garantie wilt, je precies 0 microfoons met aansluiting op het internet moet hebben. (En wie heeft dat? Ik gok niemand ik deze thread. Iedereen heeft minimaal een telefoon met internet aansluiting. En een laptop, tablet etc. Die zijn minstens zo kwetsbaar als je smart speaker)

En ik geef aan waarom ik, ondanks dat ik liever had dat mijn Sonos geen microfoon heeft, ik deze toch heb aangeschaft terwijl ik er vanuit ga dat alle apparaten met microfoon kwetsbaar zijn.

[Reactie gewijzigd door Stpan op 11 augustus 2024 05:55]

kozue @Stpan • 11 augustus 2024 12:07

Iedere mic is een aparte aanvalsvector. Dat je er 1 in je telefoon hebt (een telefoon zou nutteloos zijn zonder) zegt nog niet dat je dan maar overal in moet hebben. Zeker een Sonos systeem heeft dat niet nodig. 5 microfoons is een 5 keer zo groot risico op afluisteren.

Havelock @Anoniem: 718943 • 11 augustus 2024 04:06

Op YouTube staat een 5 delig docu serie van vpro over privacy wat heel goed beeld geeft hoe makkelijk ze aan onze privégegevens komen.
En daarna misbruik maken met die gegevens.

https://youtu.be/ZfzGigg3ldw?si=F1sTCSaf2XLU_e8X

DJ Henk @Stpan • 11 augustus 2024 07:39

Maar dit is mijn risico/impact analyse. Mocht het gebeuren dan is dat een vervelende inbreuk op mijn privacy. Maar echte schade zou ik niet lopen. No

Misschien moet je je dan wat verdiepen in de scams die tegenwoordig in de mode zijn, waarbij criminelen jou of je naasten proberen geld afhandig te maken door zich voor te doen als een bekende die plots geld nodig heeft. Over het algemeen zijn mensen sneller geneigd om daarin te trappen, als de crimineel allerhande details op kan lepelen waarvan je denkt dat die alleen in een kleine groep bekend zijn.

Suf voorbeeld: stel via andere kanalen weet de crimineel het telefoonnummer van je vrouw. Door je Sonos af te luisteren weet de crimineel dat je vandaag met je voetbalteam een uitwedstrijd hebt, want bij het ontbijt hadden jullie daar een gesprekje over. Als die crimineel vervolgens probeert via Whatsapp zich voor te doen als jou, dan kan hij opeens met een heel geloofwaardig verhaal aankomen. "Ongeluk gehad, mijn schuld... agressieve tegenpartij... heb nu snel geld nodig!" Nu ja, je kunt zelf vast ook wel wat verzinnen.

Stpan @DJ Henk • 11 augustus 2024 07:55

Je hebt zeker een punt, mijn gevolgen onderschat ik misschien. De scams kunnen heel geavanceerd zijn.

Maar waar het me om gaat is:
- we focussen ons nu op Sonos of smart speakers.
- terwijl mijn werk laptop, prive laptop, iPad, prive telefoon net zo kwetsbaar zijn. (Alleen is daar (nog) geen kwetsbaar gevonden, of erger: wel gevonden maar niet gepubliceerd)
- ik gok dat veel TVs, oude telefoons en oude tablets een veel en veel groter risico zijn.

Maar niemand hier die zegt: ik gooi mijn TV en telefoon de deur uit.

Terwijl de gevolgen exact hetzelfde zullen zijn als die apparaten worden gehackt.

[Reactie gewijzigd door Stpan op 11 augustus 2024 10:53]

supersnathan94

@Stpan • 11 augustus 2024 15:05

Oftewel, niemand is geïnteresseerd.

Jawel hoor!

In de ogen van een hacker ben je een wandelend doelwit, want: toegang!

Er is namelijk iets heel belangrijks wat een ander persoon niet heeft. Jij kunt bij je werk zo binnen lopen, inloggen en bin bepaalde data komen. Data die in de handen van een hacker ws heel veel geld waard is. Het hoeft niet eens per se harde data te zijn, maar je e-mail account is vaak al voldoende? Waarom? Vanuit daar kun je met social engineering al wel weer verder komen.

Stpan @supersnathan94 • 11 augustus 2024 15:46

Ik snap dat dit allemaal interessant is.

Maar mijn werk email adres is bij heel veel mensen bekend, en staat ook in vele databases.

Ik denk dat ik mijn werkemail adres exact de afgelopen 5 jaar exact 0x heb uitgesproken in het bijzijn van mijn smart speaker.

Wat ik bedoelde is: ik ben geen interessant persoon die voor journalisten of geheime diensten interessant is.

Hackers die toegang willen tot mijn bankrekening of mijn werk laptop hebben veel kortere, snellere en betere methodes voorhanden dan mijn smart speaker te hacken en hopen dat ik hardop vertrouwelijke informatie lek.

PepijnK @Stpan • 11 augustus 2024 17:52

Maar dan, wie ben ik nou helemaal? Niet politiek actief. Niet stinkend rijk. Niet bekend. Oftewel, niemand is geïnteresseerd. Net zoals nog niemand heeft geprobeerd bij me in te breken. Oftewel het risico dat ik word afgeluisterd door kwaadwillenden lijkt me nihil. (Ik heb overigens geen enkele 'voice' dienst aanstaan, maar sluit ook niet uit de hardware fabrikanten illegaal 'samples' nemen. Wederom, kleine kans dat dit bij mij zal zijn).

De kloterij is dat je als nobody voor bad actors ook interessant bent. Ik heb recentelijk in mijn omgeving meegemaakt dat er iemand slachtoffer werd van een spearfishing attack op zijn discord, wat uiteindelijk een nieuwe zero-day bleek te zijn.

Juist omdat het een nobody was, was diegene een geschikt doelwit, want zo iemand heeft zeer waarschijnlijk al zijn beveiliging op default staan. Dan testen ze hun zero-day in het wild, tech support doet het zeer waarschijnlijk af al "je wil niet toegeven dat je ergens op geklikt hebt" en de black hats hebben hun bevestiging over hun zero-day in het wild.

Discord deed er pas wat mee toen we met veel pijn en moeite in grote lijnen hebben weten te reconstrueren wat er nou daadwerkelijk gebeurd is.

hooibergje @Stpan • 12 augustus 2024 01:09

Dit, inderdaad. Mijn insteek is:

Als er ergens data wordt gegenereerd waarmee geld verdiend kan worden, gebruikt iemand die data om geld te verdienen, ongeacht hoe hard ze lopen te bazelen over privacy.

Pat911 @Stpan • 12 augustus 2024 11:51

Iedereen kan belangrijk zijn. Misschien werk je wel bij een bedrijf wat interessant is voor bepaalde mensen. En kunnen ze door je af te luisteren informatie inwinnen, waarmee ze weer bij dat bedrijf kunnen komen.

In dit geval is het voice, maar het kan dus ook zomaar met een device zijn dat bij data op je laptop kan.

EdwinHamers @Stpan • 12 augustus 2024 12:58

Dit lees ik wel vaker "wie ben ik nou?" of "Ik heb niets te verbergen". Natuurlijk heb je zaken te verbergen net zoals iedereen zijn privacy heeft. Met toegang tot smart devices, al dan niet op grote schaal, is het een kwestie van tijd voordat "de saaie burgerman" aan de beurt is.
Dus ja, jij neemt het risico, want smart apparatuur kan kwetsbaar zijn. En met microfoons, en zelfs video (zie Ecovac verhaal) komt het steeds dichterbij.

Een hacker, of groep, die fijn bij meerdere mensen naar 'binnen' kijken, via de robot stofzuiger, of afluisteren via een microfoon. En daar een AI filter opzetten zodat ze precies weten wat je bank is, of misschien je pin. Enof je op vakantie bent. etc etc.

Allemaal gevoelige info die je ook niet op straat slingert. Jouw risico natuurlijk. Maar ook jouw privacy!

Een hardware knop om mic/video uit te kunnen zetten zou mooi zijn. Maar dat gaat voorbij aan het 'smart' zijn...

Ronwiel @Bor • 10 augustus 2024 13:49

Bijzonder dat de Arc SL er tussen staat aangezien die geen microfoons heeft: https://nl.hardware.info/...variant-zonder-microfoons. Maar misschien wel EQ doeleinden blijkbaar?

leploep @Ronwiel • 10 augustus 2024 14:58

Een microfoon en een speaker zijn technisch voor het grootste gedeelte gelijk aan elkaar en kunnen beide als zodanig gebruikt worden. Alhoewel ik niet denk dat in dit geval er afgeluisterd word met de speaker maar in principe is het mogelijk.

[Reactie gewijzigd door leploep op 10 augustus 2024 15:03]

tweaker29789 @leploep • 11 augustus 2024 00:32

Dat is een beetje een Hollywood kijk op dat idee. Het is zeker niet altijd 'in principe mogelijk' om een speaker als mic te gebruiken via een hack.

Of die speaker bruikbaar is als microfoon, hangt toch in eerste instantie af of de electronica dat uberhaupt mogelijk maakt. En dan zou je dit ook softwarematig op de juiste manier moeten kunnen beinvloeden. En als dat allemaal kan, of de eigenschappen van die speaker wel geschikt zijn om iets hoorbaars ervan te maken.

RefriedNoodle @Ronwiel • 11 augustus 2024 09:01

De Five ook niet. Maar de kwetsbaarheid betreft het kunnen injecteren en uitvoeren van code, wat natuurlijk los staat van de aanwezigheid van een microfoon.

Het proof of concept toonde aan dat de vulnerability gebruikt kon worden om de microfoon af te luisteren.

Robbierut4 @Bor • 10 augustus 2024 13:52

Goed onderzoek dat gelijk de risico's van "slimme" speakers aantoont. Het afluisteren van dergelijke apparaten werd lange tijd door veel mensen, ook hier op Tweakers, afgedaan als "onzin". Een onderzoek als dit helpt hopelijk om meer awareness te krijgen op dit gebied.

Ik denk dat ook op tweakers mensen snappen dat alles met een microfoon de capaciteit heeft om je af te luisteren.
Wat werd (en wordt) afgedaan als onzin is dat google/amazon/etc 24/7 de microfoon afluisteren om vervolgens gerichte reclame te laten zien op basis wat je gezegd hebt.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Robbierut4 • 10 augustus 2024 14:10

Wat werd (en wordt) afgedaan als onzin is dat google/amazon/etc 24/7 de microfoon afluisteren om vervolgens gerichte reclame te laten zien op basis wat je gezegd hebt.

Ook het scenario hacken werd afgedaan als onzin of men kwam met "ik heb niets te verbergen". En wat betreft het afluisteren door bv Amazon (even als voorbeeld): Alexa, wie luistert er met me mee?

Een slimme speaker is ontworpen om naar jou luisteren, maar kan hij je ook afluisteren?

Amazon kwam onder vuur te liggen, nadat bekend werd dat ‘slimme speaker’ Amazon Echo in staat was mensen af te luisteren. Sterker nog, ze transcribeerden zelfs wat er gezegd werd.

ZwolschBalletje @Bor • 10 augustus 2024 15:20

En wat betreft het afluisteren door bv Amazon (even als voorbeeld):

Let op: je suggereert hier iets dat in het gelinkte artikel niet wordt genoemd. Afluisteren door de leveranciers van slimme speakers is al vaak vermoed, maar bij mijn weten nooit aangetoond. (Bron 1, bron 2, bron 3)
Wel is bekend dat bedrijven, bijvoorbeeld ook Google, hun spraakherkenning trainen door teksten op te nemen die volgen op ‘hey Google’ en die vervolgens te transcriberen. Maar dat is in mijn ogen een ‘gerechtvaardigd belang’, om maar in privacy termen te blijven.

Het voorbeeld in het door jou gelinkte artikel is interessant, maar een geval van ‘it’s not a bug, it’s a feature!’. Het beschrijft een mooie casus dat de drop-in functie van (in dit geval Alexa-)speakers kan worden misbruikt door je ex, wanneer je na een scheiding je wachtwoorden niet aanpast.

Maar dat is is totaal wat anders dan willekeurig afluisteren door de leverancier (zoals jij noemt) of door het hacken van de apparaten (zoals in dit artikel genoemd werd).

[Reactie gewijzigd door ZwolschBalletje op 10 augustus 2024 15:25]

centr1no @ZwolschBalletje • 10 augustus 2024 16:35

willekeurig afluisteren door de leverancier

Ik heb wel sterke verhalen gehoord van mensen over dat 'we hadden het ergens over en toen kregen we advertenties daarvan'. Maar ik heb het persoonlijk nooit zien gebeuren.
Het is ook totaal niet logisch omdat, hoewel die bedrijven dat best zouden willen, de hel los breekt op het moment dat het aantoonbaar gebeurt en repliceerbaar is.

Wat veel geloofwaardiger is is dat bijv. de Amerikaanse overheid ergens enorme datacenters heeft die werkelijk alle data die verstuurd wordt opvangen, filteren en opslaan. Maar dat is dan weer niet aantoonbaar, laat staan aan te vechten.

Wel is bekend dat bedrijven, bijvoorbeeld ook Google, hun spraakherkenning trainen door teksten op te nemen die volgen op ‘hey Google’ en die vervolgens te transcriberen.

En wanneer stop dat opnemen? En ik geloof dat aangetoond is dat die services niet alleen activeren door enkel die sleutelwoorden.
Bovendien is het zo dat een hoop van die bedrijven er een handje van hebben inbreuk te maken op een hoop regels tot ze op de vingers worden getikt en 99% van de mensen die er gebruik van maken nog steeds geen idee hebben wat er allemaal verzameld, verstuurd en gebruikt wordt.

Wat mij persoonlijk altijd opvalt is de enorme vaagheid in die onderzoeken en berichten.
Er zal nooit een artikel of document verschijnen dat onomstotelijk vast stelt dat er niets aan de hand is.
Er wordt altijd afgesloten met een 'maar'.

Dit hele alu-hoedjesverhaal staat natuurlijk los van het gegeven dat in theorie ieder apparaat met een microfoon misbruikt zou kunnen worden om af te luisteren. Zeker als dat gericht gebeurt en nog meer als je nagaat dat ieder oppervlak technisch als 'microfoon' gebruikt kan worden..

Aaargh! @centr1no • 10 augustus 2024 18:06

Ik heb wel sterke verhalen gehoord van mensen over dat 'we hadden het ergens over en toen kregen we advertenties daarvan'. Maar ik heb het persoonlijk nooit zien gebeuren.

Ik vermoed dat het heel vaak precies andersom is.

Bedrijf X is bezig met een reclame campagne voor product Y. Hierdoor wordt er op heel veel plekken reclame getoond voor dit product. Omdat we gebombardeerd worden met reclame registreert dit niet bewust. Maar reclame werkt wel, anders zouden bedrijven er geen kapitalen aan uitgeven, dus product Y wordt wel ergens in je onderbewuste opgeslagen. Vervolgens heb je een gesprek met iemand en komt product Y ter sprake, precies omdat je al dagen bestookt bent met reclame voor product Y. Omdat je er net een gesprek over hebt gehad valt de reclame opeens wel bewust op.

IMHO is dit nog een veel enger idee: je krijgt geen reclame voor een product omdat je werd afgeluisterd toen je het er over had. Je had het er over omdat de reclame het in je hoofd heeft gestopt.

Het is ook totaal niet logisch omdat, hoewel die bedrijven dat best zouden willen, de hel los breekt op het moment dat het aantoonbaar gebeurt en repliceerbaar is.

Ik denk ook niet dat bedrijven dat zouden willen. Ten eerste is de signal-to-noise ratio veel te laag, mensen praten wat af over helemaal niets. Zie daar maar eens uit te filteren welke producten je moet gaan aanbieden aan die mensen. Daarnaast levert het gewoon te weinig op voor wat het kost. Je moet een enorme infrastructuur opzetten en in de lucht houden om al die afgeluisterde data te verwerken, AI modellen runnen die kunnen achterhalen waar men het over heeft (als je meer wilt doen dan simpele keyword matching). Dat kost kapitalen. Dan moet je wel een shitload extra producten verkopen voordat dat uit kan.

[Reactie gewijzigd door Aaargh! op 10 augustus 2024 18:08]

centr1no @Aaargh! • 10 augustus 2024 19:04

Ik vermoed dat het heel vaak precies andersom is.

Twijfelachtig omdat dat logisch is en niet bepaald opzienbarend. Misschien in sommige gevallen.
Maar in de 'sterke verhalen' had men het specifiek over onderwerpen die niet populair zijn of waarvoor men normaal reclame zou zien.

Dan moet je wel een shitload extra producten verkopen voordat dat uit kan.

Nee dus. Het hele punt van Google is dat ze geen producten maar advertenties verkopen. Het zal Google waarschijnlijk een worst wezen wat je koopt.
Die hele AdSense-business is wat dat betreft sowieso compleet onlogisch omdat je reclame krijgt van producten, merken, winkels waar je sowieso al in geïnteresseerd was en/of al naar gezocht had of zelfs al gekocht hebt.
Ik denk dat je je ook vergist in de mogelijkheden die er al zijn v.w.b. het filteren en de infrastructuur die bij een bedrijf als Google gewoon aanwezig is.

Aaargh! @centr1no • 10 augustus 2024 19:49

Nee dus. Het hele punt van Google is dat ze geen producten maar advertenties verkopen. Het zal Google waarschijnlijk een worst wezen wat je koopt.

Maar het worden hele dure advertenties, en die krijg je alleen verkocht als ze ook echt wat opleveren.

centr1no @Aaargh! • 10 augustus 2024 20:37

Je bepaalt per click (of meer). Hoe beter het werkt hoe meer je betaalt.
Als het niets opleverde deed niemand het.

Doesnotcompute @Aaargh! • 11 augustus 2024 07:46

Dat denk ik dus niet. Nu ben ik zelf iemand die totaal niet in "dingen gelooft". Niet religieus, geen edelstenen, sterrenbeelden, covid samenzweringen etc. Heel nuchter

En toch, zeg ik dat ze je ook afluisteren. Ik zei laatst tegen mijn vrouw dat we nog achter Ikea matrassen aanmoesten voor de camper, iets wat we al maanden geleden een keer besproken hadden, maar beide niet hebben gegoogeld oid. En toch opeens ikea bedden/matrassen reclame.

Ik beschouw mijzelf echt als een nuchtere jongen, maar dit krijg je er bij mij ook niet uit.

Quintiemero @ZwolschBalletje • 10 augustus 2024 18:51

Dat is dus letterlijk afluisteren om hun producten te trainen:)

kozue @ZwolschBalletje • 11 augustus 2024 12:14

Maar dat is in mijn ogen een ‘gerechtvaardigd belang’

Dat is het absoluut niet. Dat is persoonlijke data misbruiken voor doeleinden waar de gebruiker niet mee ingestemd heeft. Voor dit soort dingen moeten ze expliciet toestemming vragen onder de AVG.

Heedless @Bor • 10 augustus 2024 13:55

Ook zonder microfoon is eigen code kunnen uitvoeren natuurlijk een probleem, dus ik neem aan dat het probleem daar ligt bij dat model? Opnemen kon dan niet, maar alsnog ongewenst.

[Reactie gewijzigd door Heedless op 10 augustus 2024 22:22]

Umbrah @Heedless • 10 augustus 2024 14:49

Och, als het ding onderwater een *nix draait, is het niet zo lastig om met wat creatief ALSA-werk mogelijk alles wat VIA het ding gespeeld wordt vervolgens weer ergens anders naar te sturen (net alsof dat het halve doel is van sonos...). Ook naar waar het niet voor bedoeld wordt. Ik weet niet van jou, maar zo af en toe speel ik wel eens iets af op m'n speakers wat niet voor andere mensen bedoeld is. Denk aan familiefilmpjes, teams gesprekken, game gesprekken, of wat dan ook.

Umbrah @Bor • 10 augustus 2024 14:55

Helemaal gelijk, en nota bene Sonos zelf is een voorbeeld voor iedereen die interesse heeft in een slim speaker ecosysteem.

Laat ik vooraf zeggen dat ik niks heb tegen slimme speakers, ik wil echter óók controle houden; zodat ik als een fabrikant er mee ophoudt niet met e-waste zit, eventueel zelf zaken kan repareren, of mocht ik later meer speakers willen toevoegen, dat ik niet aan merk-eigen interfaces en standaarden vast zit.

Sonos heeft naast dit beveiligingslek ook nog wel wat meer voorbeelden van "hoe het niet moet" (naar mijn mening):

nieuws: Sonos biedt excuses aan voor slechte app en geeft planning voor verbe...
nieuws: Sonos stopt ondersteuning diverse producten vanaf mei - update

etc... allemaal voorbeelden van hoe een nieuwe app nog wel bestaande producten slechter maakte, of hoe een eenzeidig "einde levensduur"-bericht een hoop producten effectief tot baksteen maakte. Sonos is eigenlijk een schoolvoorbeeld voor hoe "slimme" en "geïntegreerde" en "alleen via ons ecosysteem"-producten niet goed zijn voor de consument.

Het gekke is dat we voor sommige producten, zoals smartphones (alles verlijmd, gesoldeerd, niet upgradebaar, geen losse onderdelen te vervangen, en aan End of Life effectief een stukje decoratie ipv iets nuttigs) dit heel normaal vinden, terwijl we voor andere dingen dit niet vinden. Ik heb, toen ik mijn huis kocht (en van wat overwaarde mezelf op audio trakteerde) daarom bewust ook Sonos ontweken. En eigenlijk vindt ik het kwalijk dat dit soort trucs op sommige andere productsegmenten steeds normaler worden.

kikashi @Bor • 10 augustus 2024 15:20

Euh, de Five heeft geen microfoon?

Coolstart @Bor • 11 augustus 2024 12:03

Goed onderzoek dat gelijk de risico's van "slimme" speakers aantoont. Het afluisteren van dergelijke apparaten werd lange tijd door veel mensen, ook hier op Tweakers, afgedaan als "onzin". Een onderzoek als dit helpt hopelijk om meer awareness te krijgen op dit gebied.

Even nuance, je moet fysieke toegang hebben tot het apparaat of toegang hebben tot het wifi-netwerk. Zonder wifi-wachtwoord of rechtstreeks aansluiten kan je deze kwetsbaarheid niet benutten. Als je dan toch bent ingebroken in dat huis kan je maar beter een camera of microfoon installeren om iemand af te luisteren.

Luchtbakker 10 augustus 2024 14:05

Exact de reden waarom rommel als een microfoon niet in een speaker hoort. Gewoon laten zoals het was; dus een speaker met internetfunctionaliteit voor het afspelen van audio.

Anoniem: 718943 @Luchtbakker • 10 augustus 2024 18:46

Nou, onze soundbar heeft een microfoon, met als doel feedback te geven aan de audioprocessor om het geluidsprofiel optimaal in te stellen voor de ruimte.

Ik snap in dit geval de aanwezigheid van de mic, wat niet wegneemt dat deze vast wel aangesproken zou kunnen worden door kwaadwillenden.

PVDK007 @Luchtbakker • 10 augustus 2024 14:43

$_/-\o_$ precies.

Er zijn veel ontwikkelingen die de mensheid hebben geholpen zoals stroom en de industrie maar internet??? Ik weet niet, sinds de komst van Facebook en alle andere ontwikkelingen die rond die tijd gedaan zijn, is het bergafwaarts gegaan. Ik meen het oprecht dat ik de tijd van 99, 2000 mis. Ik zeg het niet snel maar vroeger was het internet en de maatschappij wel beter.

Horatius @Luchtbakker • 11 augustus 2024 01:37

Dus dan moet ik maar een extra microfoon aanschaffen om de functionaliteit te krijgen die de microfoon bood? Kortzichtig.

Ik vind het ideaal dat wanneer ik thuis ben tegen Google een paar commandos kan bleren om dingen geregeld te krijgen, of tegen mijn LG TV om settings aan te passen.

Dat jij geen microfoon wilt in je speakers is je goedrecht, dat betekent niet dat het rommel is en daar niet in thuis hoort.

CrimInalA 10 augustus 2024 17:34

Daarom wil ik een fisieke knop om die micro uit te kunnen zetten .
En niet softwarematig zoals meestal een toggle in een app .

crazyboy01 @CrimInalA • 10 augustus 2024 18:29

Die fysieke knoppen zijn vaak ook softwarematig op het ding zelf tegenwoordig. Ben wel benieuwd of we ooit nog van die ouderwetse schakelknoppen gaan zien op apparaten haha.

kimborntobewild @crazyboy01 • 10 augustus 2024 23:11

Nee, want een knop is in de fabriek 3 cent duurder.

Horatius @crazyboy01 • 11 augustus 2024 01:40

Google Nest Audio heeft een fysieke knop waarmee je de microfoon uitzet. En veel laptops is het gewoon een hardware matige switch.

Naar mijn mening waren het juist vroeger veel software aanpassingen en worden het juist meer hardware knoppen tegenwoordig door de nadruk op het belang van privacy en de gevolgen ervan.

remmuz @Horatius • 11 augustus 2024 07:52

Het zegt toch helemaal niks dat het een fysieke knop is??
Mijn oude iPhone heeft ook een fysieke knop om het geluid uit te zetten. Maar dat wil niet zeggen dat die schakelaar ook echt het signaal naar de speaker onderbreekt. Ik kan die fysieke knop ook zo instellen dat het scherm niet meer draait.
Die schakelaar doet niks meer dan een signaaltje naar de CPU sturen die dan vervolgens de speaker (of microfoon) uit zet.

Horatius @remmuz • 11 augustus 2024 13:25

Zucht. Alleen is het by de Google Audio Nest dus wel een fysieke ontkoppeling, ook bij steeds meer laptop is dit gewoon wel zo. Ik zeg letterlijk dat dit een hardwarematige switch is....

Mijn complete reactie gaat erover dat deze knoppen steeds meer fysieke ontkoppelingen worden en dst het eerder juist software matig was met fysieke knop...

crazyboy01 @Horatius • 11 augustus 2024 23:32

Jaaaa, dit bedoel ik inderdaad ook! Ik dacht meer aan veel (andere) smartspeakers en vergaderingsmicrofoons. Daar is het nog wel echt vaak zo'n softwarematig knopje met een mooi lampje etc (kan bijvoorbeeld vaak via de app dan ook weer ingeschakeld worden, als je die koppelt). Maar zo'n fysieke ontkoppeling is wat ik graag op alle apparaten zou zien.

EDIT: ter vergelijking met wat ik bedoelde; dat is dus zo'n aan/uit schakelaar waar je vroeger bijvoorbeeld je apparaten op batterijen mee inschakelde etc. Ik denk dat jij ook zoiets in gedachte hebt (al heb ik dat zelf dus helaas niet op mijn laptop en heb ik ook geen Google Nest Audio, dus weet niet of dat 1-op-1 overeenkomt, maar principe zal gelijk zijn).

[Reactie gewijzigd door crazyboy01 op 11 augustus 2024 23:35]

Horatius @crazyboy01 • 12 augustus 2024 10:35

Ja en dit komt dus steeds meer op, meer bedrijven en consumenten vinden het belangrijk dat dit uitgezet kan worden.
Consumenten kan je wel foppen door het software matig te maken maar bedrijven hebben vaak gewoon als eis dat het hardware matig is.

Dat de Google Audio Nest het heeft is ook opvallend hoor. Bij de release, wat al veels te lang geleden is, was dit opmerkelijk en een duidelijke push van Google om mensen niet te laten vrezen dat hij meeluistert als ze dit niet willen.

TweakChow @CrimInalA • 10 augustus 2024 18:37

Maar hoe weet je zeker dat die fysieke knop ook echt werkt?

In software kan geregeld worden dat de knop lijkt te werken (wel opnemen, maar niet reageren). Geloof ik dat die knoppen niet doen wat de fabrikant claimt, nee. Niet echt.

Op “slimme” zetten dergelijke knoppen in ieder geval nog. Op tablets en smartphones ontbreken ze geheel.

HugoVS @TweakChow • 10 augustus 2024 20:03

Enkel in het geval dat die fysieke knop ook een fysieke actie is heeft, namelijk het onderbreken van het circuit.

Ayyylias @CrimInalA • 11 augustus 2024 01:12

de sonos era 100 en 300 hebben deze knop, de SL hebben geen mic

maxkranendijk 10 augustus 2024 13:51

Daarom gewoon tv’s, koelkasten en speakers zonder microfoons uitrusten. Die paar lui die tegen hun producten willen praten koppelen maar een spraakassistent.

PVDK007 @maxkranendijk • 10 augustus 2024 14:45

Er zit tegenwoordig teveel rotzooi in een ''smart'' speaker. Geef mij maar gewoon een wifi verbinding met de mogelijkheid om mijn mobiel of macbook aan te sluiten op de speaker en ik ben tevreden

Horatius @maxkranendijk • 11 augustus 2024 01:39

Mijn speaker and TV zijn dus mijn spraak assistent, ook heeft een spraakassistent nog steeds een speaker nodig... Daarnaast gebruikt Sonos deze microfoons ook voor kalibratie. Dus hoe wil je je oplossing implementeren?

Will_M 10 augustus 2024 14:28

Zouden de Sonos 'smart speakers' welke onder de merknaam IKEA verkocht worden hier misschien ook onder (kunnen) vallen? Veel mensen hebben die dingen in huis en weten vaak niet eens dat het rebranded Sonos speakers zijn.

Pwain 10 augustus 2024 14:33

Het hoort natuurlijk niet zo te zijn. Maar laten we niet vergeten dat je voor deze hack binnen het wifi bereik van de speaker moet zijn.

Ik denk dat er dan wel andere en eenvoudigere methodes zijn om gesprekken af te luisteren.

kimborntobewild @Pwain • 10 augustus 2024 22:57

Dat is whataboutism.

Vinny_93 10 augustus 2024 14:05

Het gaat echt van kwaad tot erger bij Sonos. Ben benieuwd hoe lang dit nog volhoudt. Multiroom audio is al niet meer hun USP, voor de kwaliteit hoef je het niet te doen en de besturing met die app is ook een verschrikking vergeleken met Connect-toepassingen op draadloze speakers.
't Is dat ik mijn One ooit gratis heb gekregen.

Budha @Vinny_93 • 10 augustus 2024 14:10

Zoals ik het lees is het een kwetsbaarheid van Mediatek die onderzoekers hebben getest op een Sonos. Nadat Sonos op de hoogte is gesteld hebben ze het probleem opgelost. Het drama met de nieuwe app is Sonos volledig aan te rekenen, maar hoe ze in deze kwestie nalatig zouden zijn geweest ontgaat mij.

Vinny_93 @Budha • 10 augustus 2024 14:19

Ik denk dat het imago van Sonos wel schade oploopt, of ze dit hadden kunnen voorkomen of niet. Sonos staat nu wel in de hoek waar de klappen vallen.
Als mensen willen zoeken naar een reden om de schuld bij Sonos neer te leggen, komen ze denk ik snel uit bij het volgende: als je een speaker uitrust met WiFi en een microfoon, zul je de geleverde netwerkmodules goed moeten nalopen op security. Dus ze zijn te goedgelovig geweest richting Mediatek of ze hebben het risico voor lief genomen.

Uit een andere comment hier blijkt wel dat de opinie op Tweakers was dat een microfoon op een slimme speaker geen privacyrisico is. Ik vermoed dat dit sentiment op basis van dit bericht flink omslaat. Als voorbeeld om de zorgen te ondersteunen, zal men Sonos aanhalen. Mediatek zal weinig genoemd worden.

Jerra @Vinny_93 • 10 augustus 2024 14:26

Alleen zou ik op basis van een enkele reactie dat sentiment niet voor waarheid aannemen.

Sterker nog in mijn ervaring is het sentiment eerder omgekeerd.

Overigens is er in het verleden ook al gebleken dat je met een beetje geluk helemaal geen microfoons nodig hebt om af te luisteren. Met de toevalligerwijs juiste chipset kun je zelfs de trillingen die worden opgevangen door de luidsprekers zelf weer omzetten in een audiosignaal.

moonlander @Budha • 10 augustus 2024 20:14

Misschien gebruikers op de hoogte houden van dit probleem? Ipv een jaar later

Nozmordre 10 augustus 2024 14:45

Het hele "slimme" huishouden is zo'n vloek.
Ik werk in IT en ik doe mijn best mijn huis zo "dom" mogelijk te houden.

Anoniem: 718943 @Nozmordre • 10 augustus 2024 18:50

Ik ben er ook geen fan van, het beetje smart wat in mijn huis zit is grotendeels offline zelfbouw.

De 2 grootste problemen die ik heb zijn de verplichte online accounts, en het relatief hoge verbruik als alles "uit" staat.
(Een potentieel 3e zou zijn dat het luiheid in de hand werkt).

hooibergje @Nozmordre • 12 augustus 2024 01:13

Aja, heb je ook een geweer liggen om je printer dood te schieten als het een vreemd geluid maakt?

kaghy2 10 augustus 2024 16:11

Lekker bezig Sonos....

Nelis13 10 augustus 2024 20:11

Ik lees nu net 3 artikelen mbt hetzelfde
Sonos zijn mediatek chip.
AMD CPU's kwetsbaarheid
RISC V kwetsbaarheid
Volgens mij is er een hackathon/ congres met dit onderwerp bezig.
Kortom als men wil, dan vindt men wat. Maakt niet uit waar.

kimborntobewild @Nelis13 • 10 augustus 2024 23:16

Ik lees nu net 3 artikelen mbt hetzelfde
Sonos zijn mediatek chip.
AMD CPU's kwetsbaarheid
RISC V kwetsbaarheid
Volgens mij is er een hackathon/ congres met dit onderwerp bezig.
Kortom als men wil, dan vindt men wat. Maakt niet uit waar.

Het kan pas veilig als alles Open Source is. Dat geeft geen zekerheid, maar het is wel een voorwaarde.
Met Closed Source weet je zeker dat je niet zeker weet of er lekken in het ontwerp zitten. Het kan dan immers niet gecheckt worden door derden/onafhankelijken.

[Reactie gewijzigd door kimborntobewild op 10 augustus 2024 23:17]

kwaakvaak_v2 @Nelis13 • 12 augustus 2024 11:27

Dat is correct, afgelopen week was het Defcon 32 in Las Vegas. Zo'n beetje de grootste conferentie op dat gebied.

Op dit item kan niet meer gereageerd worden.

Kwetsbaarheid in Sonos-speakers maakte het mogelijk om audio af te luisteren

Lees meer

Reacties (93)

Sorteer op:

Weergave: