Deutsche Forscher entdecken Sicherheitslücken in Alexa- und Google-Home-Geräten

Sie erlauben den Diebstahl von Anmeldedaten. Schädliche Apps können unter Umständen auch ihre Nutzer abhören. Eine bestimmte Zeichenfolge erlaubt es, den Aktivitätszeitraum der Assistenten zu verlängern.

Der deutsche Sicherheitsanbieter Security Research Labs (SRLabs) warnt vor Schwachstellen in den digitalen Assistenten Amazon Alexa und Google Home. Sie erlauben es unter Umständen, Nutzer ohne deren Wissen abzuhören. Ein Missbrauch für Phishing-Angriffe ist ebenfalls möglich.

Google Home Mini (Bild: Google)Es ist nicht das erste Mal, dass ähnliche Anfälligkeiten in den Sprachassistenten aufgedeckt wurden. Alexa traf es bereits im April, Mai und August 2018, Google Home im Mai 2018. Jedes Mal führten die Hersteller neue Sicherheitsvorkehrungen ein, die immer wieder umgangen wurden.

Die jüngste Enthüllung stammt von den Sicherheitsforschern Luise Frerichs und Fabian Bräunlein. Angreifbar ist demnach das Backend der Assistenten, das Entwicklern die Möglichkeit gibt, Sprachbefehle sowie die Antworten der Assistenten anzupassen.

Auslöser ist eine bestimmte Zeichenfolge (�. ), die sich an verschiedenen Stellen im Backend einer Alex- oder Google-Home-App einfügen lässt. Diese Zeichenfolge bringt die Assistenten dazu, über längere Zeiträume still zu sein und gleichzeitig aktiv zu bleiben.

Dieser Umstand würde es beispielsweise einer Horoskop-App erlauben, eine gefälschte Fehlermeldung auszugeben und trotzdem aktiv zu bleiben. Nach einer bestimmten Zeit könnte sie dann wiederum für ein angeblich verfügbares Update von Amazon beziehungsweise Google das Passwort des zugehörigen Kontos abfragen. Allerdings ist in dem Fall, zumindest bei Echo-Geräten, anhand der blauen Status-LED zu erkennen, dass die schädliche App durchgehend aktiv ist – falls ein Nutzer darauf achtet.

Zum Abhören eines Nutzers lässt sich die Zeichenfolge ebenfalls verwenden. Allerdings wird sie erst eingesetzt, nachdem eine schädliche App auf eine Spracheingabe des Opfers reagiert hat. Auch dann bleibt die App aktiv und zeichnet alle weiteren Gespräche auf, um sie an den Server des Angreifers zu übermitteln.

Die Angriffe, die Forscher auch in ihrem Youtube-Channel zeigen, wurden mit Apps ausgeführt, die die Forscher zuvor in den Marktplätzen von Amazon und Google veröffentlicht hatten. Sie machten sich dabei den Umstand zunutze, dass beide Anbieter zwar neu eingereichte Apps kontrollieren, nicht aber die später eingereichten Updates.

Gegenüber ZDNet USA erklärten die Forscher, sie hätten Amazon und Google schon vor Monaten über die Schwachstellen informiert – beide Firmen hätten sie jedoch bisher nicht beseitigt. Während Amazon nicht für eine Stellungnahme zur Verfügung stand, erklärte ein Google-Sprecher, die Anfälligkeiten seien beseitigt worden. Google prüfe und lösche zudem alle Aktionen von Apps, die gegen die Richtlinien verstießen. Zudem wies das Unternehmen darauf hin, dass der Home-Assistent niemals nach einem Konto-Passwort frage.

WEBINAR

Webinar-Aufzeichnung: HPE Server mit AMD EPYC 2 stellen 37 Rekorde auf

Das Webinar informiert Sie über die neuen auf AMD EPYC 2 basierenden HPE Server. Erfahren Sie mehr über die erheblichen Leistungs- und Kostenvorteile, die die neue Architektur in der Praxis bietet. Jetzt registrieren und Webinar-Aufzeichnung ansehen.

Themenseiten: Amazon, Google, Smart Home, Smartphone, Spracherkennung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Deutsche Forscher entdecken Sicherheitslücken in Alexa- und Google-Home-Geräten

Kommentar hinzufügen
  • Am 21. Oktober 2019 um 16:39 von Frank Furter

    Kein Mensch – abgesehen von Schwerstbehinderten – braucht diese „Schnüffel-Assistenten“ wirklich.

    Wer sie trotzdem benutzt, sollte sich über die „Risiken und Nebenwirkungen“ bewusst sein.

    • Am 21. Oktober 2019 um 18:51 von demokrit

      freiheit heißt selber entscheiden zu duerfen was man kauft und nutzt. nur in einer diktatur wird einem vorgeschrieben,
      schlechtgemacht und nicht tolleriert

      • Am 22. Oktober 2019 um 11:14 von Matti

        Gähn, mag ja schön klingen, aber spätestens, wenn die eigene ‚Freiheit‘ die Rechte Dritter betrifft, oder gar die Demokratie gefährdet, ist das eben ein Problem, dass Dritte nicht hinnehmen müssen.

        Easy, oder?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *