Onderzoekers van Security Research Labs hebben een manier gevonden hoe ze gebruikers van Alexa en Google Home via malafide apps kunnen afluisteren en zelfs gevoelige gegevens kunnen ontfutselen. Gebruikers kunnen de mogelijkheden van hun smart speakers via allerlei apps uitbreiden.
Amazon en Google controleren de apps van externe ontwikkelaars voordat die aan gebruikers worden aangeboden. Het is echter mogelijk om de app na de controle aan te passen. Om de apps te bedienen, zoals het starten en stoppen, worden er bepaalde woorden gebruikt. De onderzoekers maakten een app met twee functies. De eerste functie wordt geactiveerd met het "stop" woord, de tweede functie luistert naar een bepaald veelgebruikt woord.
Na de controle controle door Amazon wordt de eerste functie aangepast zodat die goodbye zegt, waarmee een app aangeeft de sessie te stoppen. In werkelijkheid is dit een truc om de gebruiker te misleiden en blijft de luistersessie open. Om de afluistertijd te vergroten voegden de onderzoekers een speciale karakterreeks toe die meerdere malen wordt herhaald. Deze karakterreeks wordt echter niet door de speaker uitgesproken. Zodra de gebruiker vervolgens een zin met het veelgebruikte woord uitspreekt zal de tweede functie actief worden en de net uitgesproken zin opnemen en naar de aanvaller sturen.
Tevens ontwikkelden de onderzoekers een aanval waarbij de app doet voorkomen alsof die niet werkt, maar in werkelijkheid nog blijft luisteren. Vervolgens volgt er een bepaalde stilte, waarna de app stelt dat er een belangrijke beveiligingsupdate beschikbaar is die geïnstalleerd kan worden door het woord "start" en daarna het wachtwoord te zeggen. Een gebruiker zou kunnen denken dat de melding van de smart speaker afkomstig is en de instructies opvolgen. In werkelijkheid gaat het hier om een phishingaanval waarbij het wachtwoord van de gebruiker naar de aanvaller wordt gestuurd.
Zowel Amazon als Google zijn door de onderzoekers geïnformeerd. Die raden aan om op niet uit te spreken karakterreeksen te controleren, alsmede op verdachte teksten van een app waarin het woord wachtwoord voorkomt. Gebruikers krijgen het advies om bij het installeren van spraak-apps net zo voorzichtig te zijn als bij het installeren van smartphone-apps. De onderzoekers maakten verschillende video's waarin ze de aanvallen demonstreren.
Deze posting is gelocked. Reageren is niet meer mogelijk.