De privacyrisico’s van je smart speaker

Smart Speaker in keuken
Klik hier voor een samenvatting
Smart speakers en privacyrisico’s: moeten we ons zorgen maken?

Smart speakers zijn in relatief korte tijd uitgegroeid tot populaire consumentenelektronica. Onderzoek van het Centraal Bureau voor de Statistiek (CBS) wijst uit dat driekwart van de Nederlanders één of meerdere slimme apparaten in huis heeft. Eén op de vijf huishoudens heeft in het recente verleden een smart speaker met digitale assistent aangeschaft. Dat zijn volgens de laatste cijfers ruim anderhalf miljoen huishoudens die een slimme speaker in de woonkamer heeft staan.

Door smart speakers te combineren met kunstmatige intelligentie (AI) en andere technologieën, zijn het kleine, veelzijdige apparaten geworden. Ze spelen niet alleen je favoriete muziek af, maar weten je ook feilloos te vertellen welke afspraken er in je agenda staan, hoe druk het op de weg is en wat de weersverwachting voor de komende dagen is. Om maar een paar voorbeelden te noemen.

Zo gebruik je je smart speaker op een veilige manier

Smart speakers kennen echter ook een keerzijde. Om hem te activeren moet je een spraakcommando opdreunen. Dat betekent dat een smart speaker altijd meeluistert. Er zijn ook voorbeelden dat gesprekken daadwerkelijk zijn afgeluisterd door medewerkers van Google en Apple. En in theorie kunnen anderen jouw smart speakers activeren en overnemen.

Om de privacyrisico’s van smart speakers te beperken, hebben aanbieders de afgelopen jaren allerlei maatregelen getroffen. Daarnaast hebben wij nog drie tips om smart speakers op een veilige en verantwoorde manier te gebruiken:

  1. Houd je inloggegevens voor je.
  2. Plaats je smart speaker niet in de buurt van ramen.
  3. Schakel je smart speaker uit als je langere tijd niet thuis bent.

Wil je meer weten over de mogelijke privacyrisico’s die smart speakers met zich meebrengen en welke oplossingen techbedrijven hiervoor hebben bedacht? Lees dan snel verder.

Waar de smart speakers vóór de introductie van de Echo in 2014 nog echte ‘nerd-gadgets’ waren, zie je er nu in bijna ieder huishouden wel eentje staan. Uit onderzoek van het Centraal Bureau voor de Statistiek (CBS) blijkt dat één op de vijf huishoudens in Nederland een slimme speaker met digitale assistent heeft.

Dankzij de geweldige technologische ontwikkelingen in kunstmatige intelligentie (AI) en Natural Language Processing (NLP) geven de smart speakers ons de mogelijkheid om handsfree te communiceren met deze kleine computers. Dat is natuurlijk ontzettend handig. Helaas hebben ook deze technologische ontwikkelingen hun nadelen. De smart speakers brengen namelijk een behoorlijk aantal privacyrisico’s met zich mee.


Activatie na startcommando

De enige manier om je smart speaker te activeren is door een specifiek commando uit te spreken. Om de Google Home speaker te starten, zeg je ‘OK Google’ of ‘Hey Google’. De Echo speaker wordt wakker zodra je ‘Alexa’, ‘Computer’, ‘Amazon’ of ‘Echo’ hebt gezegd. En de Apple HomePod reageert als je ‘Hey Siri’ roept. Deze woorden werken als een soort sleutel die je smart speaker activeert.

Als een slimme speaker niet wordt geactiveerd, worden er geen audiofragmenten verstuurd of opgeslagen. Zodra je smart speaker een activeringscommando hoort, zal alles wat je vervolgens zegt geanalyseerd worden. Dankzij de statusindicator weet je wanneer een slimme speaker meeluistert. Ietwat spannend, maar nog geen reden tot paniek.


Een smart speaker luistert altijd mee

Om in staat te zijn commando’s te ontvangen, moet de microfoon van de smart speaker continu actief zijn. Met deze slimme speakers zou je dus haast zeggen dat er altijd iemand meeluistert. De gesprekken die je smart speaker opvangt, worden direct naar de cloud servers gestuurd. Vervolgens analyseert en verwerkt het algoritme deze opnames om zo de gesproken commando’s te kunnen herkennen. Hoewel de opnames pas ná activatie van de smart speaker naar de cloud gestuurd worden, brengt dit toch zo zijn risico’s met zich mee, de microfoon staat namelijk altijd aan.

De laatste jaren hebben fabrikanten aanpassingen gemaakt om onze privacy beter te beschermen. Google Assistant bewaart niet langer standaard al je gesprekken. Bovendien worden audiofragmenten verwijderd zodra een verzoek is uitgevoerd. Google sluit niet uit dat zijn spraakassistent per ongeluk geactiveerd kan worden. Aanvankelijk moest je ‘Hey Google, dat was niet voor jou bedoeld’ zeggen om het laatste dat de assistent naar Google stuurde te wissen. Tegenwoordig gebeurt dat automatisch als een slimme speaker denkt ‘OK Google’ te horen en duidelijk is dat dit niet voor Google is bestemd.

Afhankelijk van je instellingen kan Google je gepersonaliseerde advertenties voorschotelen. Je kunt op ieder moment je advertentievoorkeuren aanpassen. Wil je dat Google geen audiofragmenten opslaat? Dan kun je dit uitschakelen via het instellingenmenu. Daarvoor ga je naar Instellingen > Privacy > Activiteitsopties > Web- en app-activiteit. Daar vind je de optie ‘Inclusief audio-opnamen’. Door hier het vinkje weg te halen geef je aan dat Google geen geluidsopnamen mag opslaan en analyseren.

Gegevens die Siri verzamelt worden gekoppeld aan een willekeurige, door je apparaat gegenereerde ID. Deze willekeurige ID is niet geschakeld aan je Appel ID, e-mailadres of andere gegevens die Apple van je heeft. Gesprekken en verzoeken worden bovendien niet gebruikt om een marketingprofiel samen te stellen, of aan derden te verkopen. Apple bewaart wel transcripties van alle interacties met Siri om de stembediening te verbeteren. Na zes maanden wordt deze gegevens automatisch vernietigd.

Net als bij Google Assistant en Siri neemt Echo-apparaten van Amazon enkel gesprekken op als het activeringswoord hardop wordt uitgesproken. Om zo min mogelijk audiofragmenten naar de cloud te streamen, voert Alexa een cloudverificatie uit. Dat is simpel gezegd een double check om te controleren of het activeringswoord daadwerkelijk is gezegd.

Via de Alexa-app of de website kun je spraakopnamen terugluisteren en verwijderen. Ook kan je hier aangeven dat Alexa geen geluidsfragmenten mag opslaan, of dat deze na drie of achttien maanden automatisch worden verwijderd. Teksttranscripties worden na dertig dagen automatisch verwijderd uit je spraakgeschiedenis.


Privégesprekken in de handen van techbedrijven

Smartphone met OorHet is natuurlijk geen fijn idee om een microfoon in je slaapkamer of woonkamer te hebben die al je gesprekken (en alle bijkomende geluiden) opneemt, analyseert, en direct doorstuurt naar de cloud van een groot tech-bedrijf. Toch is dit precies wat er gebeurt als je een smart speaker gebruikt. Alle gesprekken en geluiden die het apparaat na activatie opvangt zijn niet langer privé, maar eigendom van een onbekende.

De vraag is of zelfs gesprekken die plaatsvinden terwijl de smart speaker ‘slaapt’ wel privé zijn. De fabrikanten zeggen dat de systemen pas actief beginnen te luisteren zodra ze geactiveerd zijn. Toch moet je je afvragen hoe het systeem je ‘OK Google’ kan horen zeggen als het niet luistert.


Echte mensen luisteren mee

Recent is gebleken dat verschillende bedrijven met smartspeakers opnames laten beluisteren door medewerkers. Dit doen de bedrijven, naar eigen zeggen, om zo hun service te testen en beter te maken. Zo bleek in juli 2019 dat opnames van de Google smart assistent van Nederlanders en Belgen worden beluisterd. Een werknemer die dit soort opnames analyseerde, gaf aan regelmatig persoonlijke gesprekken te horen.

Diezelfde maand kwam ook aan het licht dat Apple-medewerkers opnames van Siri beluisterden om de techniek te verbeteren. Ook bij Amazon wordt er door echte mensen naar de Alexa opnames geluisterd.

Enkele weken nadat het nieuws over de afluisterpraktijken van Google naar buiten kwam, bood de zoekmachinegigant zijn excuses aan. De privacytoezichthouder uit Hamburg lanceerde een onderzoek naar de praktijken van Google om te kijken of deze in lijn waren met de Algemene Verordening Gegevensbescherming (AVG). Google koos eieren voor zijn geld en besloot drie maanden geen gesprekken af te luisteren.

In september analyseerde Google wederom gesprekken die via Google Assistant worden gevoerd. In een blogpost beloofde het bedrijf zorgvuldiger om te springen met onze privacy, waarvan we hierboven al verschillende voorbeelden hebben genoemd.

Ook Apple bood zijn excuses aan voor het afluisteren van mensen via Siri. In een persverklaring schreef het Amerikaanse technologiebedrijf dat ze begrijpt dat klanten zich zorgen maken over hun privacy. Ter verdediging voert Apple aan dat geluidsopnames enkel werden gebruikt om Siri te verbeteren. “Data van Siri op onze servers worden niet gebruikt om een marketingprofiel op te bouwen. Ook worden deze gegevens niet doorverkocht”, zo beloofde Apple.

Apple paste Siri op drie punten aan. Allereerst worden geluidsfragmenten standaard niet langer opgeslagen, maar gebruikt Apple enkel computer-gegenereerde transcripties. Verder kunnen gebruikers sindsdien met een opt-in zelf bepalen of ze willen bijdragen aan het verbeteren van Siri (en of Apple dus wel of geen transcripties van gesprekken en verzoeken mag maken). Tot slot mogen alleen Apple-medewerkers naar  geluidsfragmenten luisteren.


Alles is terug te vinden in de cloud

De grote techbedrijven geven aan dat al deze data wordt opgeslagen in de cloud om op basis hiervan de zogenaamde ‘services’ te kunnen verbeteren. Dit betekent dat iemand die in bezit is van jouw smartphone binnen een handomdraai toegang heeft tot opgeslagen gesprekken van de smart speaker. Ook kan de politie met een dwangbevel zonder problemen toegang krijgen tot jouw misschien wel meest intieme gesprekken en momenten.

Google, Apple en Amazon hebben de mogelijkheid om opnames die door je speaker gemaakt zijn van je account te verwijderen, zodat je zelf deels de controle blijft houden. En, zoals we al eerder zeiden, is het tegenwoordig mogelijk om aan te geven dat digitale assistenten geen geluidsopnamen mogen verzamelen. In dat geval wordt er niets opgeslagen in de cloud.


Het gevaar in combinatie met andere slimme apparaten

Buiten de privacy gevoeligheid van je gesprekken in eigen huis, brengt de smart speaker nog een aantal andere mogelijke gevaren met zich mee. Veel smart speakers zijn bijvoorbeeld via bluetooth gelinkt aan verschillende apparaten in en rondom de woning. Zo kan de smart speaker je de weersverwachting voorlezen, maar ook de slimme sloten van je voordeur openen, indien die op elkaar aangesloten zijn.

En wat als jij je telefoon nu toevallig altijd op de vensterbank oplaadt? Een inbreker zou zo de magische woorden ‘Ok Google’ bij het raam kunnen spreken en vervolgens het commando kunnen geven om de deuren te openen. Dan heb je ineens een gigantisch probleem.

Smartspeaker met Devices


Zijn smart speakers te hacken?

Gelukkig zijn dit zeldzame situaties. Zolang je verstandig en bewust met je slimme apparatuur omgaat, kun je dit soort problemen grotendeels vermijden. Maar zelfs dan is het risico altijd aanwezig. Zo hebben onderzoekers van Princeton (.pdf) en een groep wetenschappers van de Zhejiang University in China de proef op de som genomen en de smart speakers proberen te hacken, en dit is ze nog gelukt ook.

Apparaten zoals de Echo of Google Home speaker zijn namelijk te bedienen met onhoorbare spraakcommando’s. Deze commando’s worden uitgezonden op een frequentie die wij mensen niet kunnen horen, maar waar de apparaten wel op reageren. Zo lukte het de onderzoekers om met een smartphone een foto te nemen via de Google speaker, de vliegtuigmodus in te schakelen, en de Echo speaker onverwacht de weersverwachting voor te laten lezen.

Het is even schrikken als je smart speaker ongevraagd de weersverwachting met je deelt, al is dit nog niet direct gevaarlijk. Voor een succesvolle aanval is het bovendien noodzakelijk om de commando’s binnen een straal van drie meter van het apparaat af te spelen met een speciale speaker. Een smart speaker is dus niet zomaar te hacken, maar het kan wel, en dat baart zorgen.


Niet alleen jouw stem activeert de speaker

Naast de speciale frequentie die de onderzoekers van Princeton gebruikten, is je smart speaker ook gevoelig voor andere geluidsbronnen. Wanneer je telefoon bijvoorbeeld in de buurt van de televisie ligt en jouw smart speaker geactiveerd is, kunnen er vreemde dingen gebeuren. De reclame waarin enthousiast “Koop deze 20 kg bonus zak hondenvoer van Merk X nu online!” geroepen wordt, kan door jouw smart speaker zomaar gezien worden als een commando. Vervolgens koopt je speaker die onzin daadwerkelijk en voordat je er erg in hebt ligt er 20 kilo hondenvoer op de deurmat. Dat zal de kat leuk vinden.

Gelukkig heeft Google daar inmiddels iets op bedacht: Voice Match. Daarmee train je Google Assistant om jouw stem te herkennen. Het idee hierachter is dat Google je beter gepersonaliseerde advertenties kan voorschotelen, omdat de zoekmachine jouw behoeftes en interesses kent. Een bijkomend voordeel is dat je hiermee voorkomt dat anderen Google Assistant kunnen activeren op je smart speaker. Met Voice Match kun je maximaal zes mensen aan een smart speaker koppelen.

Het is tevens mogelijk om Siri te trainen. Daardoor herkent de spraakassistent van Apple niet alleen jouw stem beter, maar verklein je tevens de kans dat anderen jouw iDevices kunnen activeren. Als je je iPhone of ander Apple-product voor de eerste keer opstart, krijg je de vraag voorgeschoteld of je Siri wil configureren. Daarvoor hoef je alleen de teksten die op het scherm verschijnen hardop uit te spreken. Als je Siri opnieuw wil afstellen ga je naar Instellingen > Siri en zoeken. Vervolgens zet je de schakelaar bij Hé Siri uit en weer aan en zeg je nogmaals de teksten die in beeld verschijnen.

Met Alexa is het mogelijk om een stem- of spraakprofiel aan te maken. Er wordt dan een akoestisch model van jouw unieke spraakkenmerken opgeslagen in de cloud zodat alleen jij Alexa kunt activeren. Spraakprofielen maak je aan met de Alexa-app. Als je de app hebt geopend ga je naar Instellingen > Uw profiel > Stem > Uw stem toevoegen. Zeg de zinnen hardop die op het scherm verschijnen. Als je klaar bent druk je op de knop Gereed. Als je drie jaar lang geen gebruik maakt van Alexa, wordt je spraakprofiel verwijderd.

Zelfs als de stem van een acteur of actrice iets bestelt, is er niet direct een man overboord. Het Nederlandse consumentenrecht bepaalt dat je twee weken de tijd hebt om een product te retourneren, zonder opgaaf van reden. Maar voorkomen is natuurlijk beter dan genezen. Door Voice Match op je smart speaker in te stellen of Siri te trainen, is de kans een stuk kleiner dat je opgezadeld zit met een zak hondenvoer. Bij apparaten die Alexa ondersteunen kun je een spraakprofiel instellen, of spraakaankoop uitschakelen. Daarvoor open je de Alexa-app en ga je naar Instellingen > Spraakaankopen.


Hoe slimme hackers toegang verkrijgen

Hacker met laptopBuiten deze (ietwat grappige) situaties, kunnen er ook grotere gevaren op de loer liggen. Een slimme hacker kan je bijvoorbeeld onverwacht naar een specifieke website brengen waar direct een ‘Ok Google’ commando wordt gegeven. Dit wordt dan opgevolgd met een commando waardoor de hacker zomaar toegang heeft tot je persoonlijke data. Of wat dacht je van geluidsbestanden waar jij geen boodschap aan hebt, maar waarvan de code die de hacker hierin verwerkt heeft wel mooi jouw Echo speaker activeert?


Smart speakers: risicovol, of toch niet?

We zien steeds meer slimme steden met slimme woningen. Deze woningen kunnen natuurlijk niet zonder slimme apparaten zoals de smart speaker. Deze apparaten zijn erg handig. Je kunt bijvoorbeeld even boodschappen doen, terwijl je met de babyfoon toch je kind in de gaten houdt.

Blijf echter ook kritisch kijken naar de gevolgen voor je privacy. Hoewel de privacyrisico’s van deze smart speakers in veel verhalen, voorbeelden en klachten vaak wat overdreven zijn, is de kern toch zeker gebaseerd op de waarheid. Deze speakers kunnen  ontzettend handig in huis zijn, maar brengen wel degelijk privacyrisico’s met zich mee. Genieten van deze vooruitgang in technologie mag gerust, zolang je je maar altijd bewust blijft van de mogelijke risico’s. Voorkomen is beter dan genezen. Zet dus altijd je smart speaker uit wanneer je hem niet nodig hebt en zorg dat je weet waar jouw data precies wordt opgeslagen.

Tot slot hebben we nog drie tips om smart speakers op een veilige en verantwoorde manier te gebruiken.

  1. Houd je inloggegevens voor je: als je partner de inloggegevens voor een streamingdienst aan je vraagt terwijl een smart speaker aanstaat, roep dan niet hardop je gebruikersnaam en wachtwoord. Dan weet je zeker dat deze informatie niet onderschept wordt door de smart speaker. Naast inloggegevens doe je er ook verstandig aan om je creditcardgegevens, telefoonnummers, BSN-nummer of andere privacygevoelige data voor je te houden.
  2. Plaats je slimme speaker niet in de buurt van ramen: als je je spraakassistent niet hebt getraind om jouw stem te herkennen, kunnen inbrekers of andere kwaadwillenden je smart speaker misbruiken om ongevraagd opdrachten uit te voeren. Ze kunnen bijvoorbeeld je alarm uitschakelen, met beveiligingscamera’s meekijken of rookmelders laten afgaan.
  3. Schakel je smart speaker uit als je langere tijd niet thuis bent: ga je een aantal dagen of weken op vakantie? Dan is het nergens voor nodig dat je je smart speaker aan laat staan. Daarmee vermijd je ieder risico dat het apparaat wordt misbruikt. Als de stekker eruit trekken teveel moeite is, kun je ook de microfoon uitschakelen. Dat heeft hetzelfde effect als een smart speaker uitschakelen.
Smart speakers en privacyrisico’s | Veelgestelde vragen

De belangrijkste en meest prangende vragen over de mogelijke privacyrisico’s van smart speakers hebben we hieronder voor je op een rij gezet. Staat jouw vraag er niet tussen? Als je een reactie onder dit artikel achterlaat zullen we deze proberen te beantwoorden.

Een smart speaker is zoals de naam al verklapt een slimme speaker. Een standaard speaker kan alleen muziek afspelen, een smart speaker kan veel meer. Hij weet onder meer welke afspraken er in je agenda staan, hoe druk het is op de weg en wat de weersvoorspelling voor de komende dagen is. Als je met een vraag zit, zoekt hij het antwoord voor je op internet en leest deze voor.

Door technologische ontwikkelingen in kunstmatige intelligentie (AI), Natural Language Processing (NLP) en digitale assistenten (Google Assistant, Siri, Alexa), zijn smart speakers vandaag de dag handige en veelzijdige apparaten. Maar er kleven ook enkele nadelen aan. Wil je daar meer over weten? Lees dan ons artikel over de privacyrisico’s van smart speakers.

Smart speakers zijn leuke en praktische apparaten, maar niet geheel zonder gevaar. Om een slimme speaker te activeren, moet je een startcommando hardop opzeggen zoals ‘OK Google’, ‘Hey Siri’ of ‘Alexa’. Een microfoon moet dus continu actief zijn om je te verstaan. Dat niet alleen: er zijn ook gevallen waarin medewerkers van Google en Apple meeluisterden met privégesprekken van klanten.

Een ander gevaar doet zich voor als je meerdere apparaten via Bluetooth aan een smart speaker koppelt. Een ander kan dan bijvoorbeeld de opdracht geven om de rookmelders te laten afgaan, of midden in de nacht muziek keihard te laten spelen. Verder hebben onderzoekers gedemonstreerd dat het mogelijk is om slimme speakers te hacken via zogeheten onhoorbare spraakcommando’s.

Wil je meer weten over de privacyrisico’s van smart speakers? Lees dan het hele artikel.

De laatste jaren hebben technologiebedrijven aanpassingen gemaakt om onze privacy beter te beschermen. Google bewaart niet langer standaard al je gesprekken. Bovendien worden audiofragmenten verwijderd zodra een gebruiker een verzoek indient.

Gegevens die Siri verzamelt worden gekoppeld aan een willekeurige, door je apparaat gegenereerde ID. Deze willekeurige ID is niet geschakeld aan je Appel ID, e-mailadres of andere gegevens die Apple van je heeft. Gesprekken en verzoeken worden bovendien niet gebruikt om een marketingprofiel samen te stellen, of aan derden te verkopen. Apple gebruikt enkel computer-gegenereerde transcripties om Siri te verbeteren.

Nieuwsgierig naar andere oplossingen die Google, Apple en Amazon bieden? Lees dan het hele artikel.

Smart speakers zijn een voorbeeld van technologische vooruitgang. Genieten van deze vooruitgang in technologie mag gerust, zolang je je maar altijd bewust blijft van de mogelijke risico’s. Zet dus altijd je smart speaker uit wanneer je hem niet nodig hebt en zorg dat je weet waar jouw data wordt opgeslagen.

Wij hebben drie tips voor je om smart speakers op een veilige en verantwoorde manier te gebruiken:

  1. Houd je inloggegevens voor je.
  2. Plaats je smart speaker op een centrale plek in je huis.
  3. Schakel je smart speaker uit als je op vakantie gaat.
Auteur
Cybersecurity analist
David is een cybersecurity-analist en een van de oprichters van VPNgids.nl. Sinds 2014 heeft hij internationale ervaring opgedaan in het werken met overheden, NGO's en de private sector als cybersecurity- en VPN-expert en adviseur. Meer over David.
Auteur
Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen