Både Amazon Alexa och Google Home har funktioner för utvecklare som gör att dessa kan ta fram nya röststyrda funktioner. Amazon kallar det ”skills” och Google Home ”actions”. Det handlar till exempel om appar som styr smarta hemprodukter, men också rena informationsappar.

Säkerhetsforskare på tyska Security Research Labs har visat att de här apparna kan utnyttjas av hackare för att avlyssna användare och till exempel komma över lösenord.

Forskarna tog fram fyra appar för varje plattform som alla utgav sig för att ge dagliga horoskop med röstkommandon som ”Ok Google, ask My Lucky Horoscope to give me the horoscope for Taurus”. Apparna ger svar, men lurar dig sedan att de har avslutats medan de i själva verket fortfarande är igång och kan höra allt du säger.

En teknik forskarna använde var att be assisterna läsa upp ett unicode-tecken som inte blir något ljud. Genom att placera flera såna tecken i en textsträng som assisterna ska läsa upp skapas en period av tystnad. I en av apparna lade forskarna sedan till en inspelning som härmar assistentens egen röst och påstår att det finns en uppdatering att installera – om du bara anger ditt lösenord.

Ars Technica har en längre genomgång av exakt hur forskarna tog fram de olika versionerna för Alexa respektive Google Home.

Security Research Labs kontaktade Amazon och Google om fynden, som tog bort apparna och lovade att ändra sin kontrollprocess för att stoppa den här typen av lurendrejeri.