スマート・スピーカー向け「盗聴」アプリ、審査を通過していた
ドイツに拠点を置くハッキング・コンサルティング企業「セキュリティ・リサーチ・ラボ(Security Research Labs)」によると、グーグルやアマゾンのスマート・スピーカーに対応したサードパーティ製のアプリが、密かにユーザーの音声を盗聴したり、パスワードをフィッシングしたりしている可能性があるという。
セキュリティ・リサーチ・ラボは、アマゾン・アレクサ(Alexa)用に4つ、グーグル・ホーム用に4つ、合計8つのアプリを作成した。それらのアプリがインストールされたデバイスでは、音声感知距離内の会話をすべて内密に記録し、データのコピーを特定のサーバーに送信することに成功したという。アルステクニカ(Ars Technica)によると、セキュリティ・リサーチ・ラボが作成したアプリの大半は、星占いアプリに偽装したもので、盗聴機能が仕込まれたバージョンでは、ユーザーはアプリに星占いの結果を尋ねる。アプリは結果を伝えて無音になり、ユーザーにはすでにアプリが起動していない印象を与えるが、実際には音声の録音を続けている、というものだ。もう1つのフィッシングタイプのアプリでは、虚偽のエラーメッセージを出し、ユーザーにパスワードを要求する。これらのアプリは後に削除されたものの、いずれもグーグルおよびアマゾンのセキュリティ審査を通過していた。セキュリティ・リサーチ・ラボのアプリ開発者は、これらのアプリを開発した過程の説明を公開している。
アマゾンとグーグルはアルステクニカの取材に対し、こうした方法による製品の乗っ取りを防ぐために、アプリの承認プロセスを変更していると述べている。だが、そもそもこのアプリが承認されたという事実自体が、アマゾンやグーグルといった企業が、自社のプラットフォームで動作するアプリの審査に十分な時間やエネルギーを割いていない証拠となっている。
スマート・スピーカーがプライバシーの脅威をもたらすことは、広く認知されている。アマゾンやグーグル、アップルといった企業はユーザーのデバイスの音声クリップを定期的に聞いており、スマート・スピーカーに録音された音声は刑事裁判で使用される可能性がある。このことは、消費者からの人気に悪影響を与えてはいない。
ハッカーによってスマート・スピーカーがスパイ機器になり得ることが示されたのは今回が初めてではない。2018年12月に開催されたデフコン(DefCon)のプレゼンテーションで、同じWi-Fiネットワーク上に攻撃ツールを仕込めれば、同様の攻撃が可能であることを2人の研究者が証明している。しかし、今回の最新の攻撃は、スマート・スピーカーによるプライバシーの脅威が、メーカーだけでなくハッカーからももたらされることを示すものだ。
