vir: Flickr
vir: threatpostŠlo je za bazične aplikacije, ena od njih je bila denimo horoskop, spet druga pa generator naključnih števil, vse pa so glede zavajanja uporabnikov delovale po istem principu. Belim hekerjem je bilo v pomoč odkritje napake pri obeh asistentih, ki sta potem, ko sta v svojih text-to-speech navodilih zagledala zaporedje "�." (U+D801, pika in presledek) za krajši čas umolknila, zaradi česar je uporabnik menil, da je aplikacija ugasnjena, ta pa je vseeno tekla dalje.
Vse aplikacije so tudi zlorabljale stranska vrata, ki jih Google in Amazon puščata odprta za razvijalce in ki omogočajo pošiljanje posnetkov uporabnikov na poseben strežnik, namenjen razvijalcem, ki podatke uporabljajo za prilagajanje ukazov in odzivov pametne naprave.
Uporabnik je tako denimo zahteval horoskop za svoj astrološki znak, aplikacija pa mu je najprej dala ustrezen odgovor, takoj zatem pa se potuhnila, uporabnika pa pustila v prepričanju, da je prenehala delovati. V resnici je še vedno prisluškovala vsemu v dosegu mikrofona, vsebino pa pošiljala na strežnik, namenjen razvijalcem. Aplikacija, specializirana za phishing pa je na uporabniški ukaz javila lažno napako, nato pa se je tudi ta potuhnila in delala vtis, da je izklopljena. Čez kratek čas je z glasom, podobnim Googlevmu oz. Amazonovbemu pomočniku, javila, da je na voljo nadgradnja, za njeno namestitev pa zahtevala uporabniško geslo.
Raziskovalci so svoje aplikacije seveda že umaknili iz obeh tržnic in obvestili obe podjetji, ki sta napovedali, da bosta prevetrili interne procese varnostnega preverjanja zunanjih aplikacij. Drži pa, da so predstavniki SRLabs obe družbi o varnostni vrzeli obvestili že v začetku letošnjega leta, da so zares pokrpali vse pomanjkljivosti, pa je trajalo vse do pred kratkim.
