Meekijken met Google Glass is voor hacker fluitje van een cent

Geld pinnen met een Google Glass op is onverstandig. De kans dat er iemand meekijkt is niet denkbeeldig. Vooral niet uitlenen, ook niet aan dat leuke meisje, adviseren computerexperts.

AMSTELVEEN - Nederlandse computerexperts hebben een truc bedacht om Glass, de informatiebril van Google, te infiltreren en over te nemen. Buitenstaanders kunnen dan zonder veel moeite op afstand meekijken met wat de drager ziet. Met een paar regels ingevoegde software kunnen hackers met de bril foto's en filmpjes maken zonder dat de drager het in de gaten heeft. De beelden kunnen worden verzonden naar een andere computer.


Medewerkers van het Nijmeegse ict-bedrijf Masc en accountancykantoor Deloitte (dat ook een computerbeveiligingsafdeling heeft) hebben dit gedemonstreerd aan de Volkskrant. Via een usb-stick kunnen kwaadwillenden in een onbewaakt ogenblik snel een 'scriptje' op de bril zetten dat de controle overneemt.


'Om maar even aan te geven dat je echt moet nadenken over wat je met zo'n bril doet', zegt Rob Burow van Masc. 'Het gaat ons natuurlijk om de veiligheid. Zo'n bril is een prachtig ding, maar niet zomaar een speeltje; je moet uitkijken aan wie je hem uitleent, en hem niet laten slingeren.'


Het is typerend voor de fase waarin Google Glass zich bevindt: werk in uitvoering. Het apparaat, een nieuwe interface - letterlijk - voor internet, is nog steeds een prototype. Met dank aan de gecontroleerde verkoop aan enkele duizenden explorers, die toepassingen ontwikkelen en fouten in het apparaat ontdekken, zijn er een stuk of tien software-updates geweest en vijf nieuwe hardwareversies. Maar de versie die voor 1.500 dollar te koop is in de Verenigde Staten en, sinds gisteren, het Verenigd Koninkrijk, is nog steeds niet bedoeld voor de gewone consument.


De bril figureert prominent in toekomstvisioenen van zowel technologie-optimisten als -pessimisten. Via een beeldschermpje wordt de werkelijkheid 'verrijkt' met informatie over alles wat in het blikveld verschijnt. Dat kan het menu van een restaurant zijn, of een wegwijzer, of, voor een brandweerman, de constructietekening van een brandend huis. Handig, maar sommigen vrezen het moment dat de bril met automatische gezichtsherkenning direct de achtergronden van een gesprekspartner opzoekt. Dat is nu nog niet technisch haalbaar, maar zeker niet ondenkbaar.


De bril vereist een nieuwe etiquette. Kun je verlangen dat de ander zijn bril afzet tijdens een gesprek? Mag je hem op in het café? Naast de vraag of de brildrager zelf te vertrouwen is, doemt nu dus ook de vraag op of hij zorgvuldig genoeg met zijn bril is omgegaan. Wie ziet er allemaal wat de bril ziet?


'Google Glass is in feite een complete draagbare computer', zegt Thomas Bosboom, cyberrisicomanager bij Deloitte. 'We moeten rekening houden met de risico's waarmee we bij gewone computers al langer rekening houden. Updates installeren, een pincode gebruiken, alert zijn op malware. Wanneer je Glass gebruikt met een openbaar wifi-netwerk is dat zeker niet zonder risico's.'


Volgens een mogelijk aanvalsscenario zou iemand zijn Glass even kunnen uitlenen aan een belangstellende (leuk meisje in de kroeg), waarna die er in een onbewaakt moment een mini-usb-stick in steekt. In een ander scenario wordt de malware verspreid via een wifi-netwerk, of via een app op de telefoon (de Glass is pas bruikbaar als hij met een telefoon gekoppeld is).


Het kostte een avondje met een dozijn hackers om deze aanval uit te denken, zegt Bosboom. 'We vroegen ons af wat het worstcasescenario is. Toen kwamen we op het meekijken. Je kunt de bril beter niet ophouden als je ergens geld pint, of andere zaken privé wilt houden.' De inbraak in het systeem is relatief eenvoudig. Er hoeft geen code voor te worden gekraakt, er hoeft geen server te worden veroverd.


Bosboom: 'Hardcore hackers zien dit als social engineering. Die vinden deze toegang eigenlijk te makkelijk.'


Volgens een woordvoerder van Google is de veiligheid een van de aandachtspunten. In nieuwe versies gaat het scherm op slot, zoals ook bij een smartphone, en is het alleen met een code te openen. Dat biedt echter nog geen bescherming tegen de camerakaap. 'Hoe meer feedback we krijgen, hoe veiliger we de Glass kunnen maken voor de bredere lancering later dit jaar.'

Briljant: veel geld vragen voor iets dat niet af is

Google doet het langzaamaan met Glass. Twee jaar geleden werd hij aangekondigd, maar pas sinds mei is hij te koop. Eerst in de Verenigde Staten, sinds gisteren ook in het Verenigd Koninkrijk. En ook al zijn er handige tussenhandelaren die hem nu uit die twee landen importeren, de rest van de wereld moet er (officieel) nog steeds op wachten.


Een van de redenen: Glass begrijpt ons niet. De bril wordt door de stem gestuurd ('Oké, Glass', zeg je, en hij luistert) maar snapte in eerste instantie alleen Amerikaans. Inmiddels is hij getraind om the Queen's English te verstaan, maar het Engels dat Nederlanders, Duitsers, Fransen en Chinezen brabbelen, is zelfs voor de briljante programmeurs uit Silicon Valley nog te moeilijk te programmeren.


Daar komt bij dat Glass nog steeds een prototype is. De bril wordt met behulp van de gebruikers doorontwikkeld, zoals dat Google dat vaker doet met zijn software. Op bijeenkomsten zoals de jaarlijkse I/O-conferentie van Google bespreken ontwikkelaars hun bevindingen en wordt er verder gesleuteld.


Ook de vormgeving voldoet nog niet. Google nam de afgelopen weken bekende ontwerpers in de arm om de Glass mooier te maken.


Dat neemt niet weg dat de Glass de afgelopen twee jaar door duizenden explorers is aangeschaft. Aanvankelijk werden deze pioniers, die Glass moeten ontdekken, gebruiken en vermarkten, door Google zelf uitverkoren. Nu kunnen weliswaar alle Amerikanen en Britten het apparaat kopen, maar mikt Google nog steeds vooral op de hippe creatieve klasse.


De truc om gewone (luie, veeleisende) consumenten weg te houden: een prijskaartje van 1.500 dollar in de VS en 1.000 pond in het VK.


Het is een paradoxale maar briljante strategie: mensen veel geld laten betalen voor een product dat nog niet af is, om teleurstellingen te voorkomen.


Eind dit jaar, is de verwachting, zal de voor consumenten geschikte Glass worden gelanceerd. Hij zal goedkoper, veiliger en mooier zijn dan het ding waarmee de hippe trendsetters nu lopen.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden