Ny sårbarhed i Google Home og Alexa

Sikkerhedsforskere fra SRLabs har opdaget nye sårbarheder i Alexa og Google Home der gør de digitale assistenter til aflytningsenheder og phishing-værktøjer

De nye sårbarheder som forskerne på SRlabs har fundet påvirker bade Googles og Amazons smarte højttalere, og det skræmmende er, at de lader hackere lytte med eller endda snyde brugerne.

Ved at uploade ondsindet kode, forklædt som Alexa Skill eller Google Action, har forskerne vist, at du kan få den smarte højttale til at optage brugerne uden at de ved det, og endda bede dem om deres kodeord til f.eks. Google.

Ifølge forskerne er sårbarhederne en påmindelse om, at du skal være opmærksom på, hvilken tredjeparts software du bruger sammen med dine digitale assistenter, og slette alt som du højst sandsynligt ikke kommer til at bruge igen.

Endnu er sårbarhederne ikke opdaget udenfor forskernes laboratorium, og både Amazon og Google er blevet informeret om sårbarhederne, så de kan lukkes inden hackere finder dem.

Men det ændrer ikke ved, at den slags sårbarheder viser, hvor lidt der skal til, og når forskerne kan finde sådanne sårbarheder, så vil hackerne også kunne finde dem, og andre som vi endnu ikke har opdaget.

Forskerne har i en række videoer vist hvordan sårbarhederne kan bruges. I et tilfælde blev en ’action’ for Google Home brugt til at lave et tilfældigt tal når brugerne beder om det. Men samtidig så fortsætter højttaleren med at lytte længe efter kommandoen er udført.

Med Alexa viser forskerne, hvordan en horoscope skill ignorerer stop-kommandoen, og fortsætter med at lytte. Og i to andre videoer viser forskerne, hvorddan begge højttalere kan manipuleres til at give falske fejlbeskeder, og derefter bede om brugernes kodeord.

Der er ellers en praksis for, at alt software til både Google Home og Amazon Alexa skal godkendes inden det kan bruges af deres smarte højttalere. Men ZDNet skriver, at opdateringer til eksisterende apps ikke tjekkes, og det er der at dsen ondsindede kode kan sniges ind i softwaren.

Amazon har til Ars Technica udtalt, at de har sat nye metoder op, for at forhindre at den slags skadelig kode kommer ind i apps.

Google har ligeledes sagt til Ars Technica, at det har processer sat op, der skal opdage denne slags opførsel, og derefter slette de ‘actions’ der udgør en sikkerhedsrisiko.

Del artiklen på

Om Lars Bennetzen (2464 Articles)
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.
Kommentar til artiklen?

Tilmeld dig vores nyhedsbrev

Hvis du ikke allerede får vores nyhedsbrev, har du her muligheden for at tilmelde dig.

Vi udsender 1 gang om ugen, så vi kommer ikke til at spamme din mailboks.

Vi holder dine data private, og deler dem ikke med tredjepart