Voilà ce qu'a révélé une expérience effectuée par l'entreprise allemande Security Research Labs. Une équipe y a développé huit applis pour les assistants vocaux, à savoir quatre 'skills' pour Alexa d'Amazon et quatre 'actions' pour Google Home. Elles ont dû être agréées par Google et Amazon, tout comme c'est le cas avec un magasin d'applis.

Sept des huit applis se présentaient comme des applications conçues pour fournir des horoscopes, alors que la huitième était un générateur de nombres. Elles furent toutes approuvées.

En toile de fond, les applis avaient cependant d'autres activités consistant à exploiter des points faibles de Google Home et d'Alexa pour tromper les utilisateurs en leur faisant croire que les applis n'étaient plus actives.

C'est ainsi qu'après avoir sollicité son horoscope, un utilisateur a certes obtenu les informations voulues, suivies d'un 'goodbye' et du son typique de Google Home. Il en résulta que l'utilisateur supposa que l'action était terminée, alors que tel n'était pas le cas. Tout ce qui s'est dit ensuite pendant quelque huit secondes, a été transféré vers le développeur de l'appli.

L'appli d'hameçonnage ('phishing') offre une approche un peu différente. Ici, l'utilisateur, lorsqu'il sollicite son horoscope, apprend que cette fonction n'est pas disponible dans son pays. L'appli reste ensuite quelque temps silencieuse, comme pour signifier qu'elle n'est plus active. Au bout d'une minute, elle imite toutefois la voix de l'assistant vocal, afin d'annoncer une soi-disant mise à jour. Pour l'installer, l'utilisateur est alors invité à décliner son mot de passe.

Or ce genre de mise à jour n'exige jamais que l'utilisateur révèle oralement son mot de passe à un assistant vocal. Mais Security Research Labs indique que beaucoup d'utilisateurs ne le savent probablement pas et le déclinent de vive voix.

Security Reseach Labs a fait part de ses résultats à Google et Amazon. Les deux entreprises ont retiré les applis en question et ont signalé qu'elles adapteraient leur processus d'approbation, afin d'éviter des attaques similaires à l'avenir.