Hopp til navigasjon Hopp til innhold
Ved å bruke en skadelig app kan brukeren lures til å tro at høyttaleren er ferdig med å gjøre opptak av stemmen din, mens den i realiteten fortsatt lytter og lagrer det du sier. (Ill.: SRLabs)

Se hvordan de lurer smarthøyttalerne til å avlytte deg

Verken Amazon eller Google oppdaget de skadelige appene.

Med inntoget av smarthøyttalere i hjemmet har det også dukket opp noen bekymringer som vi ikke hadde før. Og det er ikke uten grunn. Det er allerede oppdaget at ansatte lytter til opptak gjort gjennom populære høyttalere, og frykten for at personer med ondsinnede hensikter skal gjøre det samme er ikke ubegrunnet.

Snappet opp passord og avlyttet brukerne

Det kan forskere i Security Research Labs skrive under på. Selskapet har nemlig klart å lure både Google og Amazon til å godkjenne tilsynelatende uskyldige apper (såkalte Skills i Alexa og Actions i Google Home), men som egentlig inneholdt skadevare, designet for å avlytte brukere gjennom høyttaleren.

Ved hjelp av appene kunne forskerne fange opp personlige og sensitive detaljer – blant annet passord – fra brukerne. De kunne også tyvlytte på hva som ble sagt i rommet der høyttaleren befant seg.

– Vi viser nå at ikke bare produsentene, men også hackere kan misbruke stemmeassistentene for å invadere noens privatliv, sier forskerne i en pressemelding.

– Må være en mer grundig gjennomgang

De skadelige appene ble godkjent av både Amazon og Google. Først da Security Research Labs fortalte selskapene om hva de hadde gjort, ble appene fjernet.

– For å forhindre «smartovervåkningsangrep» bør Amazon og Google implementer bedre beskyttelse. De bør starte med en mer grundig gjennomgang av tredjeparts-apper (Skills og Actions) som blir gjort tilgjengelig i deres stemmeapp-butikker, sier forskerne.

Appene de brukte hadde ulike navn og ulike fremgangsmåter. Felles for metodene var at brukeren ikke kunne oppdage at han eller hun var hacket.

Gjennom blant annet en horoskop-app kunne ekspertene avlytte intetanende brukerne. Når brukeren sa «Ok Google, spør My Luxky Horoscope om å gi meg horoskopet for vekten», svarte høyttaleren med å oppgi den ønskede informasjonen. Men samtidig sørget den for å fortsette avlyttingen etterpå, og lagret det som ble sagt, selv om appen indikerte at den ikke lenger kjørte.

Kilde:
Ars Technica
Security Research Labs

Stikkord: Alexa, amazon, assistant, avlytting, Google, hacking