Security (b)log: Slimme speakers

Bij de plaatselijke elektronicamarkt hangt een heel rek vol met slimme speakers. Als een apparaat het predicaat ‘slim’ heeft, dan is het kwetsbaar, stelt mijn beveiligingsheld Mikko Hyppönen. Want dan heeft het sensoren, is het gekoppeld aan het internet en kan het iets doen. Haal je met zo’n ding niet een spion in huis? Het is al vaker gezegd: George Orwell had niet voorzien dat mensen zich vrijwillig zouden onderwerpen aan grootschalige bespieding.

De term ‘slimme speaker’ zal wel door een marketingafdeling zijn bedacht. Het slimme zit ‘m namelijk helemaal niet in de spreekfunctie van zo’n ding, maar in de luisterfunctie. Maar ja, ‘slimme microfoon’ is marketingtechnisch een bedenkelijke term, want Big Brother. De microfoon luistert naar je, waarna je vraag in een flits naar de cloud van fabrikant wordt gestuurd, geanalyseerd en beantwoord. Nog een flits later klinkt het antwoord uit de luidspreker.

Dat die winkel er zoveel in voorraad heeft, impliceert dat veel mensen er eentje willen hebben, waarschijnlijk doordat veel andere mensen er al een bezitten. Nou, dat blijkt wel mee te vallen. Uit een onderzoek* onder een kleine vijfduizend Nederlandse consumenten kwam naar voren dat slechts drie procent naar zo’n ding verlangt. Ruim dertig procent vindt ze te duur en (slechts?) acht procent vertrouwt ze gewoon niet. Ruim een kwart van de mensen vindt spraakbesturing oké, terwijl een paar procent méér daar sceptisch over is. Maar hoeveel mensen hébben nu al een slimme speaker? Nou, in zo’n half miljoen Nederlandse huishoudens staat er eentje. De bekendste is de Google Home (drieëntwintig procent van de mensen kent die naam), daarna komen de Sonos Home (17%) en de Amazon Echo (11%). De HomePod van Apple is bij slechts tien procent van de respondenten bekend.

Stel je een stad ter grootte van Den Haag voor waar in elk huis een slimme speaker staat. Is dat dan de belichaming van de dystopie die Orwells 1984 schetst? Waarvoor zijn de bangeriken, waaronder ik mijzelf in deze context ook maar even schaar, eigenlijk bang? Wel, dat ligt voor de hand: dat er de hele tijd iemand naar je luistert. Maar is dat realistisch? Je moet die vraag in twee stukken knippen: “de hele tijd” en “iemand”. Ja, er wordt de hele tijd naar je geluisterd. Het kastje luistert namelijk of je “Hey Google” roept, of welk ander wekwoord jouw kastje ook heeft. Dat luisteren gebeurt lokaal en komt niet verder dan de slimme assistent zelf. Pas als je de magische woorden hebt uitgesproken gaat hij wat in de seconden daarna wordt gezegd naar zijn thuisbasis sturen. En dan zit er niet “iemand” naar je te luisteren, maar “iets”. Niet een heel leger mensen met koptelefoons, maar een batterij computers, die proberen chocola te maken van wat je zegt.

Tot zover de handleidingen. Ga je dieper graven, dan ontdek je dat er wél mensen meeluisteren. Reviewers, die steekproefsgewijs controleren of hun kastjes alles goed begrijpen. Duizenden zijn het er bij Amazon**, die opnames uittypen en van aantekeningen voorzien, die vervolgens het systeem weer in gaan. Zo kunnen ze hun product verbeteren. Je zou het niet denken als je het gemak ziet waarmee je met die technologie omgaat, maar spraakherkenning is best ingewikkeld. Lijkt me dus legitiem, mits de reviewers alleen geanonimiseerde fragmenten kunnen beluisteren. En of de microfoon naar je luistert, kan hij kenbaar maken met lampjes en geluidjes. Maar weet je nog dat we webcam covers gebruiken omdat we er niet zeker van kunnen zijn dat iemand stiekem de camera aanzet, zonder dat het lampje gaat branden? Dat kan bij de smart speaker net zo goed, lijkt me.

Er blijft dus voldoende ruimte voor complottheorieën. Met de vraag of ze je afluisteren, bedoelen we meestal: luisteren ze iedereen af? Maar wat als ze die vrijwillig gekochte gadgets slechts gebruiken om bepaalde mensen te bespioneren? Of als inlichtingendiensten bij Google c.s. op de stoep staan en toegang tot jouw microfoon eisen? Of als je slimme speaker of diens fabrikant gehackt is en de cybercrimineel op zoek gaat naar informatie waarmee hij je kan afpersen? Of als fabrikanten toch stiekeme dingen doen, zoals het inbouwen van microfoons in apparaten waarvan je zelf nooit zou bedenken dat er een microfoon in hoort te zitten? Dit verzin ik niet: begin dit jaar kwam aan het licht*** dat de Nest Protect (een rookmelder “2.0”) een microfoon bevat. En o ja, Nest is a Google company.

George Orwell was een optimist, hoor je wel eens. En ik? Ik blijf sceptisch ten aanzien van de mogelijkheden, maar tegelijkertijd denk ik dat de kans klein is dat ze uitgerekend mij eruit zouden pikken. Als er maar genoeg van die dingen in omloop zijn. Maar dat is voorlopig nog niet het geval.

*: www.want.nl/nederland-slimme-speakers-onderzoek

**: https://www.bloomberg.com/news/articles/2019-04-10/is-anyone-listening-to-you-on-alexa-a-global-team-reviews-audio

***: https://www.businessinsider.nl/google-nest-products-with-microphones-2019-2