Amazon och Googles smarta högtalare är sårbara för hackare

Precis medan Amazon och Google desperat försöker övertyga oss om att de inte lyssnar på allt vi säger, har säkerhetsforskare visat hur lätt dessa enheter kan infiltreras av hackare som kommer att avlyssna dina konversationer. Och även – bara för fniss – nätfiska efter dina lösenord.

En tysk forskargrupp Security Research Labs upptäckte en sårbarhet som de har kallat Smart Spies. Genom olika knep lägger den till en lång paus till Alexa eller Googles svar för att få dig att tro att den inte längre lyssnar.

Den uppmanar dig sedan, medan du härmar Alexa eller Google, att uppdatera din enhet och ber om personligt identifierbar information som ett lösenord, eller fortsätter helt enkelt att lyssna in och spela in dina konversationer, transkribera vad du säger och skickar en utskrift till hackaren.

Läs det här: Gräver i Amazons nya sekretessverktyg

Enligt en rapport från ArsTechnica kommer sårbarheten in eftersom även om både Amazon och Google granskar Skills and Actions innan de läggs till plattformarna, granskas inte uppdateringar, så en till synes harmlös app kan bli skurk utan att någon är klokare. .

Säkerhetsforskarna utvecklade åtta appar – fyra Alexa Skills och fyra Google Home Actions, som kunde göra exakt detta. Främst enkla horoskopappar bakom kulisserna kunde de lyssna på eller övertyga användare att ge upp lösenord eller e-postadresser.

I ett e-postmeddelande till Gizmodo sa Security Research Labs att sårbarheten upptäcktes i februari. "Vi blev förvånade över att se att Smart Spies-hacken fortfarande fungerade mer än tre månader efter att ha rapporterat problemen till Google och Amazon", skrev de.

Apparna är inte längre tillgängliga, men du kan se demonstrationer av hur de fungerar på YouTube-videor som lagts upp av forskarna på deras bloggsida.

"Användare måste bli mer medvetna om potentialen hos skadliga röstappar som missbrukar sina smarta högtalare", skrev de på sin blogg. "Att använda en ny röstapp bör behandlas med samma försiktighet som att installera en ny app på din smartphone."

Användare måste bli mer medvetna om potentialen hos skadliga röstappar som missbrukar sina smarta högtalare

Security Research Labs delade med sig av sina resultat med företagen och har rekommenderat att de implementerar mer grundliga granskningsprocesser av tredjeparts kompetens och åtgärder.

Amazon svarade gruppen med följande uttalande:

"Kundernas förtroende är viktigt för oss, och vi genomför säkerhetsgranskningar som en del av kompetenscertifieringsprocessen. Vi blockerade snabbt färdigheten i fråga och införde begränsningar för att förhindra och upptäcka denna typ av kompetensbeteende och avvisa eller ta bort dem när de identifierats."

De sa också att de har infört "reduceringar" för att förhindra de problem som tagits upp, och påpekade att användare aldrig ska dela sitt lösenord med enheter via röst, varje begäran om sådan information kommer inte från Amazon.

Googles svar var liknande. "Alla åtgärder på Google måste följa våra utvecklarpolicyer och vi förbjuder och tar bort alla åtgärder som bryter mot dessa policyer . Vi har granskningsprocesser för att upptäcka den typ av beteende som beskrivs i den här rapporten, och vi tog bort de åtgärder som vi hittade från dessa forskare. Vi inför ytterligare mekanismer för att förhindra att dessa problem uppstår i framtiden."

Det finns få eller inga bevis, enligt forskarna, att det finns några sådana appar som för närvarande hotar Alexa- och Google Home-användare, men användare av dessa enheter måste vara vaksamma på eventuell misstänkt aktivitet på sina smarta högtalare.