Har du någonsin oroat dig för att din Amazon Alexa-aktiverade enhet kan spionera på dig? Du kanske har haft rätt.

Jag lyssnar på varje ord du säger. Kredit: Amazon
(Bildkredit: Jag lyssnar på varje ord du säger. Kredit: Amazon)

Som ett bevis på konceptet har forskare från israelbaserat applikationssäkerhetsföretag Checkmarx skrev en skadlig "skicklighet" eller Alexa-funktioner som lyckades vända en Amazon Echo Dot till en fullfjädrad avlyssningsenhet som spelade in dialog på obestämd tid och skickade transkriptioner av mänskligt tal till en tredje parts webbplats såväl som till Amazon. (Färdigheten laddades aldrig upp till Amazons Alexa app store och är inte tillgänglig för allmänheten.)

En YouTube-video gjord av forskarna visar först två vanliga Alexa-sessioner, där Amazon Echo Dot kort tänds när det svarar på enkla frågor och sedan mörker efter att interaktionen avslutats, vilket indikerar att inspelningen har slutade.

En mänsklig röst utanför kameran ber sedan Alexa att beräkna ett enkelt matematikproblem, varefter det blå ljuset stannar kvar och Amazon Echo Dot skickar transkriptioner av allt som människan säger till en icke-Amazon hemsida. Först när den mänskliga rösten säger "Alexa, sluta" slocknar ljuset och inspelningen upphör.

"Medan det lysande blått ljuset avslöjar att Alexa fortfarande lyssnar är mycket av poängen med en IPA-enhet [intelligent personlig assistent] att, till skillnad från en smartphone eller surfplatta, behöver du inte titta på den för att använda den, "skrev forskarna Maty Siman och Shimi Eshkenazi i sin Rapportera. "I själva verket är dessa IPA gjorda för att placeras i ett hörn där användare helt enkelt pratar med en enhet utan att aktivt titta i dess riktning."

MER: 5 sätt att säkra din Alexa-enhet

Amazon Alexa är tänkt att sätta på sig bara efter att ha hört ett specifikt nyckelord (som standard "Alexa" eller "Echo") och sedan stänga efter att ha svarat på en strukturerad fråga (t.ex. "Vad är vädret i Seattle?"), eller efter åtta sekunder av tystnad.

Hela interaktionen spelas in av den Alexa-aktiverade enheten och laddas sedan upp till Amazon, där inspelning används för att "träna" enheten för att bättre känna igen den mänskliga användarens accent och tal mönster. Användare kan gå till sina Amazon-konton och radera all Alexa-interaktion.

För att hålla Alexa kapacitet öppen gör Amazon det möjligt för alla att skapa "färdigheter" eller strukturerade interaktionstyper, och sedan ladda upp dem till Amazon för andra Alexa-enhetsägare att använda.

Checkmarx-forskarna upptäckte att de kunde skapa en färdighet som båda höll sessionen "vid liv" förbi åtta sekunders gräns och även överträffa Alexas inbyggda skydd för att muntligt meddela användaren att en session håller på att hålls vid liv.

Vi kommer inte att gå in i detalj här, men forskarna fann att det var ganska enkelt att hålla en session vid liv och bara krävde ett enkelt programmeringskommando. Att se till att Alexa inte berättade för användaren var svårare, tills de hittade att Alexa skulle acceptera en tom meddelandeprompt och därmed säga ingenting.

Slutligen behövde de Alexa för att transkribera vad människorna i rummet sa. De slog ihop möjliga interaktions "slots" av ett ord per styck, menade att loggas som kommandon som indikerar användarens avsikt, för att skapa en öppen färdighetsuppsättning som skulle fånga och transkribera talade meningar på mellan ett och 15 ord som en del av den normala loggningsprocessen.

Denna lösning skiljer sig från ett fysiskt Alexa-hack från förra sommaren, där en brittisk forskare fann att han kunde bända av bottenlocket på en äldre Amazon Echo-modell och bifoga en hårdvaruenhet som knackade på ljudmatningen och skickade den till en fjärrkontroll dator.

Israelierna behövde däremot inte bryta sig in i något. Deras metod var helt programvarubaserad och användaren Amazons eget Alexa-utvecklingssats.

Tyvärr för blivande avlyssnare där ute berättade Checkmarx-forskarna Amazon vad de gjorde för månader sedan. Efterföljande uppdateringar av Alexa-enheter innebär att den tomma meddelandeprompten inte längre ska fungera, avlyssningsförmåga bör upptäckas och aktiva sessioner som är längre än vanligt borde lyfta rött flagga.

Det betyder inte det Alexa avlyssning är nu omöjligt. Det blir bara svårare för nästa grupp forskare att dra igång.

  • Amazons nya Echo Dot har barnvänlig Alexa
  • Bästa smarta högtalare
  • Din integritet är borta. Du vet bara inte det ännu

Få omedelbar tillgång till nyheter, de hetaste recensionerna, bra erbjudanden och hjälpsamma tips.

Tack för att du registrerade dig i Toms guide. Du kommer att få ett verifieringsmeddelande inom kort.

Det var ett problem. Uppdatera sidan och försök igen.

Ingen skräppost, vi lovar. Du kan när som helst avsluta prenumerationen så kommer vi aldrig att dela dina uppgifter utan ditt tillstånd.