Google og Amazon godkender apps, der lytter til dig i smug

Techgiganterne har lukket hullet, der gjorde, at smarte højtalere kunne lytte med og snyde sig til dit kodeord.

Google Home-dimsen er en af de smarte højttalere, som tyske forskere har fået skadelige apps godkendt til. (Foto: Niels Christian Vilmann © Scanpix)

Din kæreste og dig, der skændes om, hvem der skal tage opvasken eller lyden af alle de prutter du slår, når du er alene hjemme.

Der er mange lyde og samtaler som vi gerne vil holde for os selv. Men det er ikke sikkert, at det kan forblive privat, hvis du har smarte højtalere med taleassistenter i derhjemme.

Tyske sikkerhedsforskere fra firmaet Security Research Labs har nemlig opdaget en svaghed i taleassistenterne Amazon Alexa og Google Home.

Forskerne har udviklet i alt otte apps, fire til hver taleassistent, skriver webmediet Ars Technica.

Dem har de fået godkendt hos de to techgiganter, selv om alle otte apps lytter med, når du tror, at de er slukket.

Og det kan udnyttes på flere måder.

Horoskop-app lytter med, når du tror den er slukket

En af de apps sikkerhedsforskerne har fået godkendt er horoskop-appen "Todays lucky horoscope".

Den vækkes til live, når du siger "Alexa, start Todays Lucky Horoscope", og giver appen dit stjernetegn.

Herefter får du dit horoskop, og det er fint - men når du beder appen om at stoppe, bliver den ved med at optage.

Security Research Labs fortæller i en youtube-video, at den metode kan bruges til at optage lyd, som ikke skulle være optaget og som kan være af personlig karakter.

Det samme gør en Google Home-app, der skal give dig et tilfældigt tal, hvis du skulle stå og mangle det.

Når du er færdig med appen, spiller den en lyd, som indikerer at appen lukker. Men det gør den bare ikke, og den fortsætter med at optage i al hemmelighed.

De smuglyttende apps optager ikke i al evighed, men tal-appen optager alt, indtil den registrerer tredive sekunders stilhed.

Alt der der optages sendes til udvikleren, som derefter kan gøre med optagelserne, hvad de vil.

Et minuts stilhed skal snyde dig

En anden metode som forskerne har brugt, vil snyde dig ved at være stille i en periode, så du tror at appen ikke længere er aktiv.

Det bruger forskerne til at demonstrere, hvordan udviklere kan lokke kodeord ud af dig. Det fungerer sådan her:

1. Du aktiverer din horoskop app, men får besked om, at den ikke virker.

2. Herefter er der stille i et minut.

3. Pludseligt siger din taleassistent, at der er kommet en opdatering og beder om dit kodeord.

Og her kan mange potentielt falde i fælden ifølge Security Research Labs.

Selv om hverken Amazon eller Google aldrig beder om at få kodeord udleveret ved stemmebrug, kan uopmærksomme brugere snydes til at udlevere det, så det sendes til udvikleren.

Faren afværget, men problemerne fortsætter

Security Research Labs har brugt en teknisk svaghed i den måde de digitale assistenter omsætter tekst til tale på, i programmeringen af deres apps.

Det hul er nu lukket, oplyser både Amazon og Google ifølge Ars Technica, som Security Research Labs varslede, inden de offentliggjorde at have fundet og udnyttet svaghederne.

De otte apps er derfor ikke blevet brugt med onde hensigter, men for at demonstrere fejlen, så den kunne udbedres hurtigst muligt.