Innehåll

• Röstfiske-lösenord på Amazon Echo och Google Home-högtalare
• Tappar av användare via Amazon Echo och Google Home-högtalare

Vi visste att Google och Amazon lyssnar på deras användare via deras röstaktiverade Echo- och Home-smarta högtalare. Men en grupp säkerhetsforskare har nu visat hur tredjepartsappar lätt kan lyssna på användare och röstfiskkänslig information som lösenord.

Forskare vid Tysklands SRLabs hittade två hackningsscenarier - avlyssning och phishing - för både Amazon Alexa och Google Home / Nest-enheter. De skapade åtta röstappar (Skills for Alexa och Actions for Google Home) för att demonstrera hackarna som gör dessa smarta högtalare till smarta spioner. De skadliga röstapparna som skapats av SRLabs passerar enkelt genom Amazon och Googles enskilda screeningprocesser.

Olika tillvägagångssätt användes för att avlyssna Amazon-användare och Google Home-användare och för att phish information från dem. Forskarna kunde ändra funktionaliteten i de färdigheter och åtgärder som de skapade för hacking efter att Amazon och Google godkände apparna. Det fanns ingen andra omgång av recensioner som efterfrågades efter att nämnda ändringar gjordes.

Röstfiske-lösenord på Amazon Echo och Google Home-högtalare

I videon nedan ser du hur en användare ber Alexa att starta en skicklighet som heter My Lucky Horoscope. Detta är en skadlig Alexa-skicklighet som skapats och modifierats av SRLabs för att phish för lösenord.

Appen ger inte något välkomnande och svarar istället och säger: "Den här färdigheten finns för närvarande inte tillgänglig i ditt land." Vid denna punkt skulle en användare anta att appen har slutat lyssna, men den har det verkligen inte. Istället har färdigheten hackats för att säga en karaktersekvens som Alexa inte kan uttala, varför talaren förblir tyst när den faktiskt är pausad och lyssnar.

Färdigheten spelar sedan ett phishing-ordstäv: ”En ny uppdatering är tillgänglig för din Alexa-enhet. Vänligen säg börja följt av ditt lösenord. ”Även om Amazon aldrig ber om lösenord på detta sätt kan användare som inte är medvetna fångas utanför.

En liknande metod användes för röstfiske-lösenord på en Google Home Mini-högtalare.

Tappar av användare via Amazon Echo och Google Home-högtalare

För avlyssning använde forskarna samma horoskop-app för Amazons smarta högtalare. Appen lurar användaren att tro att den har stoppats medan den tyst lyssnar i bakgrunden.

För Google Home var hacket ännu enklare och det fanns inget behov av att ange triggerord för att avlyssna. Forskarna noterar att i det här fallet sätts användaren i en slinga eftersom "enheten ständigt skickar röstingångar till hackerens server medan han skickar korta tystnader emellan."

SRLabs har tagit bort alla appar som är demoade i ovanstående videor. Forskarna rapporterade också sina resultat till Amazon och Google.

Enligt Ars Technica, båda företagen svarade med att säga att de ändrar sina godkännandeprocesser och antar ytterligare mekanismer för att undvika sådana hack i framtiden.

Det finns dock ingen uppdatering från varken Amazon eller Google för att säga när dessa problem kommer att åtgärdas. Det finns inte heller något sätt att veta om en färdighet eller handling missbrukat dessa kryphål tidigare.