Et team af sikkerhedsforskere hos Checkmarx har skabt en "færdighed", som kan gøre Amazons virtuelle assistent Alexa til en aflytningsenhed. Det misbruger enhedens indbyggede forespørgselsfunktioner til at optage din samtale på ubestemt tid og sende transkripterne til tredjepartswebsted eller Amazon.
Alexa er designet til at opdage lyd til enhver tid for at fange enhver stemme kommando givet af brugeren. Det er meningen at udveksle data med Amazon-servere for at behandle kommandoer først efter at have hørt det wake-ord, der er mest almindeligt 'Alexa.'
Når Alexa reagerer på kommandoen, skal den enten bede om næste kommando eller afslutte sessionen. Forskerne var imidlertid i stand til at finde en løsning på dette system.
De skabte en harmløs kalkulatorfærdighed til at løse matematiske problemer, som omfatter en skjult ondsindet opgave. Når du starter en session med denne app, oprettes der en anden session, der fortsætter med at lytte og optage lyde uden at informere brugeren om, at mikrofonen stadig er aktiv.
Det kan gøre det på ubestemt tid, og færdigheder kan også instruere enheden til at transkribe enhver dialog, som den henter. Disse data kan sendes tilbage til beslutningstagerne eller den anden tredjeparts hjemmeside.
Ganske skræmmende, ikke? Men der er en giveaway - det blå lys på Echo-enheden forbliver aktiv og lyser op, når Alexa lytter. Uheldige ofre må ikke bemærke det, men det kan rejse mistanker.
Checkmarx har dog allerede rapporteret om den sårbarhed, som Amazon har patched nu. Virksomheden har rullet ud en Alexa opdatering, der kan opdage sådanne sessioner og træffer foranstaltninger for at forhindre dem yderligere.
