Onderzoekers van het Duitse internetbeveiligingsbedrijf Security Research Labs (SRLabs) waarschuwen voor malafide apps voor de slimme speakers Google Home en Amazon Echo. Het bedrijf ontdekte een mogelijkheid om gebruikers af te luisteren via apps van derde partijen.

De malafide audio-apps maken gebruik van een functie in de Google- en Amazon-speakers waarmee de functionaliteit van de apparaten kan worden uitgebreid. Dat kan door respectievelijk een zogenoemde 'actie' of 'vaardigheid' te installeren.

SRLabs ontwikkelde voor beide luidsprekers malafide apps. Deze apps werken, net zoals de slimme assistenten van beide bedrijven, met stemcommando's. Gebruikers kunnen een commando uitspreken om vervolgens de virtuele assistent aan het werk te zetten.

In beide scenario's maken de apps misbruik van het leesteken '�', gevolgd door een punt en een spatie. Omdat het karakter niet uitgesproken kan worden, blijft de microfoon van de luidspreker geactiveerd, zonder dat de gebruiker dat doorheeft.

Vervolgens zou de malafide app kunnen proberen om de informatie naar zijn eigen servers te sturen door de gebruiker te overtuigen het woord 'start' uit te spreken. Op die manier zou een hacker bijvoorbeeld persoonlijke informatie, e-mailadressen of wachtwoorden buit kunnen maken.

Hoewel de methode vooralsnog niet in het wild gespot is, waarschuwen de onderzoekers mensen wel voor mogelijk misbruik. "Gebruikers moeten een nieuwe spraakapp net zo voorzichtig benaderen als het installeren van een nieuwe app op hun smartphone."