Background. Smart home assistants are becoming more common in our homes. Often taking the form of a speaker, these devices enable communication via voice commands. Through this communication channel, users can for example order a pizza, check the weather, or call a taxi. When a voice command is given to the assistant, the command is sent to cloud services over the Internet, enabling a multitude of functions associated with risks regarding security and privacy. Furthermore, with an always active Internet connection, smart home assistants are a part of the Internet of Things, a type of historically not secure devices. Therefore, it is crucial to understand the security situation and the risks that a smart home assistant brings with it.

Objectives. This thesis aims to investigate and compile threats towards smart home assistants in a home environment. Such a compilation could be used as a foundation during the creation of a formal model for securing smart home assistants and other devices with similar properties.

Methods. Through literature studies and threat modelling, current vulnerabilities towards smart home assistants and systems with similar properties were found and compiled. A few  vulnerabilities were tested against two smart home assistants through experiments to verify which vulnerabilities are present in a home environment. Finally, methods for the prevention and protection of the vulnerabilities were found and compiled.

Results. Overall, 27 vulnerabilities towards smart home assistants and 12 towards similar systems were found and identified. The majority of the found vulnerabilities focus on exploiting the voice interface. In total, 27 methods to prevent vulnerabilities in smart home assistants or similar systems were found and compiled. Eleven of the found vulnerabilities did not have any reported protection methods. Finally, we performed one experiment consisting of four attacks against two smart home assistants with mixed results; one attack was not successful, while the others were either completely or partially successful in exploiting the target vulnerabilities.

Conclusions. We conclude that vulnerabilities exist for smart home assistants and similar systems. The vulnerabilities differ in execution difficulty and impact. However, we consider smart home assistants safe enough to usage with the accompanying protection methods activated.

Bakgrund. Smarta hemassistenter blir allt vanligare i våra hem. De tar ofta formen av en högtalare och möjliggör kommunikation via röstkommandon. Genom denna kommunikationskanal kan användare bland annat beställa pizza, kolla väderleken eller beställa en taxi. Röstkommandon som ges åt enheten skickas till molntjänster över internet och möjliggör då flertalet funktioner med associerade risker kring säkerhet och integritet. Vidare, med en konstant uppkoppling mot internet är de smarta hemassistenterna en del av sakernas internet; en typ av enhet som historiskt sett är osäker. Således är det viktigt att förstå säkerhetssituationen och riskerna som medföljer användningen av smarta hemassistenter i en hemmiljö.

Syfte. Syftet med rapporten är att göra en bred kartläggning av hotbilden mot smarta hemassistenter i en hemmiljö. Dessutom kan kartläggningen fungera som en grund i skapandet av en modell för att säkra både smarta hemassistenter och andra enheter med liknande egenskaper.

Metod. Genom literaturstudier och hotmodellering hittades och sammanställdes nuvarande hot mot smarta hemassistenter och system med liknande egenskaper. Några av hoten testades mot två olika smarta hemassistenter genom experiment för att säkerställa vilka hot som är aktuella i en hemmiljö. Slutligen hittades och sammanställdes även metoder för att förhindra och skydda sig mot sårbarheterna.

Resultat. Totalt hittades och sammanställdes 27 stycken hot mot smarta hemassistenter och 12 mot liknande system. Av de funna sårbarheterna fokuserar majoriteten på manipulation av röstgränssnittet genom olika metoder. Totalt hittades och sammanställdes även 27 stycken metoder för att förhindra sårbarheter i smarta hemassistenter eller liknande system, varav elva sårbarheter inte förhindras av någon av dessa metoder. Slutligen utfördes ett experiment där fyra olika attacker testades mot två smarta hemassistenter med varierande resultat. En attack lyckades inte, medan resterande antingen helt eller delvis lyckades utnyttja sårbarheterna.

Slutsatser. Vi konstaterar att sårbarheter finns för smarta hemassistenter och för liknande system. Sårbarheterna varierar i svårighet att uföra samt konsekvens. Dock anser vi att smarta hemassistenter är säkra nog att använda med medföljande skyddsmetoder aktiverade.