Der deutsche Sicherheitsanbieter Security Research Labs (SRLabs) warnt vor Schwachstellen in den digitalen Assistenten Amazon Alexa und Google Home. Sie erlauben es unter Umständen, Nutzer ohne deren Wissen abzuhören. Ein Missbrauch für Phishing-Angriffe ist ebenfalls möglich.
Es ist nicht das erste Mal, dass ähnliche Anfälligkeiten in den Sprachassistenten aufgedeckt wurden. Alexa traf es bereits im April, Mai und August 2018, Google Home im Mai 2018. Jedes Mal führten die Hersteller neue Sicherheitsvorkehrungen ein, die immer wieder umgangen wurden.
Die jüngste Enthüllung stammt von den Sicherheitsforschern Luise Frerichs und Fabian Bräunlein. Angreifbar ist demnach das Backend der Assistenten, das Entwicklern die Möglichkeit gibt, Sprachbefehle sowie die Antworten der Assistenten anzupassen.
Auslöser ist eine bestimmte Zeichenfolge (�. ), die sich an verschiedenen Stellen im Backend einer Alex- oder Google-Home-App einfügen lässt. Diese Zeichenfolge bringt die Assistenten dazu, über längere Zeiträume still zu sein und gleichzeitig aktiv zu bleiben.
Dieser Umstand würde es beispielsweise einer Horoskop-App erlauben, eine gefälschte Fehlermeldung auszugeben und trotzdem aktiv zu bleiben. Nach einer bestimmten Zeit könnte sie dann wiederum für ein angeblich verfügbares Update von Amazon beziehungsweise Google das Passwort des zugehörigen Kontos abfragen. Allerdings ist in dem Fall, zumindest bei Echo-Geräten, anhand der blauen Status-LED zu erkennen, dass die schädliche App durchgehend aktiv ist – falls ein Nutzer darauf achtet.
Zum Abhören eines Nutzers lässt sich die Zeichenfolge ebenfalls verwenden. Allerdings wird sie erst eingesetzt, nachdem eine schädliche App auf eine Spracheingabe des Opfers reagiert hat. Auch dann bleibt die App aktiv und zeichnet alle weiteren Gespräche auf, um sie an den Server des Angreifers zu übermitteln.
Die Angriffe, die Forscher auch in ihrem Youtube-Channel zeigen, wurden mit Apps ausgeführt, die die Forscher zuvor in den Marktplätzen von Amazon und Google veröffentlicht hatten. Sie machten sich dabei den Umstand zunutze, dass beide Anbieter zwar neu eingereichte Apps kontrollieren, nicht aber die später eingereichten Updates.
Gegenüber ZDNet USA erklärten die Forscher, sie hätten Amazon und Google schon vor Monaten über die Schwachstellen informiert – beide Firmen hätten sie jedoch bisher nicht beseitigt. Während Amazon nicht für eine Stellungnahme zur Verfügung stand, erklärte ein Google-Sprecher, die Anfälligkeiten seien beseitigt worden. Google prüfe und lösche zudem alle Aktionen von Apps, die gegen die Richtlinien verstießen. Zudem wies das Unternehmen darauf hin, dass der Home-Assistent niemals nach einem Konto-Passwort frage.
Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Neueste Kommentare
3 Kommentare zu Deutsche Forscher entdecken Sicherheitslücken in Alexa- und Google-Home-Geräten
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Kein Mensch – abgesehen von Schwerstbehinderten – braucht diese „Schnüffel-Assistenten“ wirklich.
Wer sie trotzdem benutzt, sollte sich über die „Risiken und Nebenwirkungen“ bewusst sein.
freiheit heißt selber entscheiden zu duerfen was man kauft und nutzt. nur in einer diktatur wird einem vorgeschrieben,
schlechtgemacht und nicht tolleriert
Gähn, mag ja schön klingen, aber spätestens, wenn die eigene ‚Freiheit‘ die Rechte Dritter betrifft, oder gar die Demokratie gefährdet, ist das eben ein Problem, dass Dritte nicht hinnehmen müssen.
Easy, oder?