Аналитики из компании SRLabs обнаружили в умных динамиках Google и Amazon уязвимость, которая позволяет подслушивать пользователей. На демонстрационном видео показано, как исследователь из SRLabs спрашивает у Google Home случайное число. Хотя действие кажется завершённым, программа продолжает слушать пользователя. Затем подключенный компьютер получает запись всего того, что было сказано.

Для динамика Alexa исследователи создали гороскоп и потом попросили прочитать его для определённого знака зодиака. После ответа устройство продолжает прослушивать микрофон и отправлять услышанное на соответствующее программное обеспечение.

Также специалисты смогли заставить динамики выпускать ложные сообщения об ошибках. После этого появляется запрос пароля пользователя.

Все эти случаи применяют уязвимость, которая позволяет отправлять в динамики символы вроде точки, пробела, U+D801, которые нельзя произнести вслух. Этот алгоритм удерживает активными каналы связи для воспроизведения речи и прослушивания, хотя сами динамики молчат.

Google и Amazon проверяют сторонние приложения, прежде чем разрешить им работать на своих платформах. Однако, обновления проверяются не так строго. Злоумышленники могут добавить шпионское программное обеспечение в виде патча для приложения и никто не заметит. Именно так исследователи и поступили.

Аналитики предупредили обе компании ещё до того, как объявить об уязвимостях публично. На YouTube было опубликовано несколько видеороликов, где показана работа этого программного обеспечения. Пока нет информации о том, что кто-то кроме исследователей использовал подобные эксплоиты.

Amazon и Google пообещали предпринять действия, которые сделают невозможным подобные уязвимости.