Verborgen stemopdrachten in YouTube-filmpjes of die via luidsprekers op evenementen worden uitgezonden kunnen worden gebruikt om smartphones aan te vallen, zo hebben onderzoekers van Georgetown en de Universiteit van Californië, Berkeley aangetoond (pdf).

De verborgen stemopdrachten zullen mensen niet opvallen, maar kunnen door smartphones als opdracht worden geïnterpreteerd. Steeds meer toestellen accepteren daarnaast stemopdrachten. "De meest haalbare aanval die we voorzien is dat iemand een YouTube-video van poesjes of iets anders populair in de achtergrond heeft draaien en er vervolgens de opdracht wordt gegeven om een een url te openen", zegt onderzoeker Micah Sherr.

Door de telefoon een kwaadaardige website te laten openen kan er bijvoorbeeld malware worden geïnstalleerd. Deze week rapporteerde beveiligingsbedrijf Check Point (pdf) dat miljoenen Android-toestellen via een drive-by download besmet zijn geraakt. De smartphones raakten automatisch geïnfecteerd via ongepatchte beveiligingslekken.

"Een mogelijk scenario is dat een miljoen mensen een poezenfilmpje bekijken en 10.000 daarvan hebben hun telefoon in de buurt en 5.000 van die telefoons voeren de stemopdrachten van de aanvaller uit en laden een link met malware erop", laat Sherr weten. "Dan heeft de aanvaller de controle over 5.000 smartphones." Andere mogelijke aanvallen die de onderzoekers voorstellen is het lekken van informatie, bijvoorbeeld door de locatiegegevens van de gebruiker op Twitter te plaatsen, of een denial of service te veroorzaken door de vliegtuigmodus in te schakelen.

Om tegen dergelijke aanvallen te beschermen ontwikkelden de onderzoekers een systeem dat computers helpt om onderscheid te maken tussen menselijke stemmen en door machines gegenereerde stemmen. De onderzoekers zullen volgende maand tijdens het USENIX Security Symposium in Texas hun bevindingen presenteren.