Amazon was de eerste fabrikant die met de Alexa-lijn succesvolle speakers met stem-assistent op de markt bracht. Relatief snel daarna kwamen andere spelers ook met zulke speakers, waaronder Google Home en Apple HomePod. De ontwikkeling daarvan was dus al aan de gang.

Daarbij is de HomePod relatief erg afgesloten, Apple kiest vooral in het begin vaak voor veiligheid en het eigen ecosysteem. Bij Google en Amazon werd juist voor het tegengestelde gekozen, al relatief snel was het mogelijk voor ontwikkelaars om voor deze slimme speakers zogenaamde ‘actions’ te maken. Het lijkt er op dat dit te snel was, of dat op zijn minst het systeem voor het toelaten daarvan veel strenger zal moeten worden. Want onderzoekers van het Duitse Security Research Labs hebben laten zien dat ze makkelijk apps op beide speakers kunnen krijgen die meeluisteren zonder dat wij dat weten.


Juist bij dit soort speakers zou je verwachten dat de bedrijven ingediende apps met argusogen zouden bekijken, er was de afgelopen periode genoeg reuring over het meeluisteren van medewerkers bij opnames waar gebruikers lang niet altijd weet van hadden.

Het voorbeeld hierboven is nog relatief onschuldig, er zijn ook versies die voor een update de gebruiker vragen om hun wachtwoord. Verder konden ontwikkelaars door het invoegen van series van ASCII of ISO codes pauzes creëren, want de speakers kunnen die niet uitspreken. Daardoor denkt de gebruiker dat de app klaar is, terwijl die ondertussen dus wel degelijk actief blijft. Ook is het mogelijk om het geluid van het einde van een interactie in de app te zetten, zonder dat dit echt het geval is. Hieronder een demo daarvan.


Hieronder de reacties van Amazon en Google, waarbij eerste Amazon aan de beurt komt. Waarbij het de moeite van het vermelden waard is dat beide bedrijven alleen maar wisten dat dit het geval was omdat Security Research Labs dit keurig zelf gemeld had.

This is no longer possible for skills being submitted for certification. We have put mitigations in place to prevent and detect this type of skill behavior and reject or take them down when identified.

All Actions on Google are required to follow our developer policies, and we prohibit and remove any Action that violates these policies.

We have review processes to detect the type of behavior described in this report, and we removed the Actions that we found from these researchers. We are putting additional mechanisms in place to prevent these issues from occurring in the future.

Meer informatie hierover is te vinden in dit artikel van Ars Technica. Daarin is ook te lezen dat Google inmiddels third-party Google Home actions aan het inspecteren is.



Bereik MacFreak’s 85.000 maandelijkse bezoekers met sponsoring, advertorials of pagelinks.
Reach MacFreak’s 85.000 monthly visitors through sponsoring, advertorials or pagelinks.