Onderzoekers van het Duitse Security Research Labs hebben een stunt uitgehaald: zij ontwikkelden vier ‘skills’ voor de Amazon Echo, de slimme luidspreker van Amazon, en eenzelfde aantal voor de Google Home, de smart speaker van Google. Na het doorlopen van het goedkeuringsproces, belandden beide in de app stores voor de Echo en de Home. Maar de wetenschappers slaagden erin om de skills zodanig te veranderen dat ze de wachtwoorden van de gebruikers konden stelen via phishing.
Wanneer hij of zij bijvoorbeeld een van de apps trigggerde en beval: “Vraag aan mijn Lucky Horoscope om mij de voorspellingen voor te lezen voor Stier”, dan gaf de app het antwoord, waarna het stil werd. Maar in plaats van zich te deactiveren, gaf de app naast deze tekst ook nog een ‘stil’ karakter, met name U+D801, punt, spatie, en dat zorgde ervoor dat de app verder actief bleef en meeluisterde. Dat ‘stille commando’ plaatsten de wetenschappers erin nà de originele goedkeuring om in de app-store te komen.
Wat de apps deden na die wijziging door de wetenschappers? Zij namen alles op wat tijdens de stilte te horen viel, en maakten daarvan een transcript dat naar de ontwikkelaar werd gestuurd. Andere apps lieten de stilte volgen door een valse foutmelding of vermeldden een valse update, waarbij de gebruiker zijn wachtwoord moest opgeven.
Slotsom: deze wetenschappers hebben hun ontdekking op een hele faire manier behandeld: zij deden het onderzoek, merkten dat de zwakke plek op en verwijderden toen de apps. Amazon en Google werden op de hoogte gebracht van het gevaar. Beide bedrijven hebben inmiddels de nodige stappen genomen om te voorkomen dat andere apps en dergelijke misbruiken nog kunnen voorkomen.
° Meer filmpjes vindt u bij ArsTechnica. (HvG)
