Categories: Sicherheit

Deutsche Forscher entdecken Sicherheitslücken in Alexa- und Google-Home-Geräten

Der deutsche Sicherheitsanbieter Security Research Labs (SRLabs) warnt vor Schwachstellen in den digitalen Assistenten Amazon Alexa und Google Home. Sie erlauben es unter Umständen, Nutzer ohne deren Wissen abzuhören. Ein Missbrauch für Phishing-Angriffe ist ebenfalls möglich.

Es ist nicht das erste Mal, dass ähnliche Anfälligkeiten in den Sprachassistenten aufgedeckt wurden. Alexa traf es bereits im April, Mai und August 2018, Google Home im Mai 2018. Jedes Mal führten die Hersteller neue Sicherheitsvorkehrungen ein, die immer wieder umgangen wurden.

Die jüngste Enthüllung stammt von den Sicherheitsforschern Luise Frerichs und Fabian Bräunlein. Angreifbar ist demnach das Backend der Assistenten, das Entwicklern die Möglichkeit gibt, Sprachbefehle sowie die Antworten der Assistenten anzupassen.

Auslöser ist eine bestimmte Zeichenfolge (�. ), die sich an verschiedenen Stellen im Backend einer Alex- oder Google-Home-App einfügen lässt. Diese Zeichenfolge bringt die Assistenten dazu, über längere Zeiträume still zu sein und gleichzeitig aktiv zu bleiben.

Dieser Umstand würde es beispielsweise einer Horoskop-App erlauben, eine gefälschte Fehlermeldung auszugeben und trotzdem aktiv zu bleiben. Nach einer bestimmten Zeit könnte sie dann wiederum für ein angeblich verfügbares Update von Amazon beziehungsweise Google das Passwort des zugehörigen Kontos abfragen. Allerdings ist in dem Fall, zumindest bei Echo-Geräten, anhand der blauen Status-LED zu erkennen, dass die schädliche App durchgehend aktiv ist – falls ein Nutzer darauf achtet.

Zum Abhören eines Nutzers lässt sich die Zeichenfolge ebenfalls verwenden. Allerdings wird sie erst eingesetzt, nachdem eine schädliche App auf eine Spracheingabe des Opfers reagiert hat. Auch dann bleibt die App aktiv und zeichnet alle weiteren Gespräche auf, um sie an den Server des Angreifers zu übermitteln.

Die Angriffe, die Forscher auch in ihrem Youtube-Channel zeigen, wurden mit Apps ausgeführt, die die Forscher zuvor in den Marktplätzen von Amazon und Google veröffentlicht hatten. Sie machten sich dabei den Umstand zunutze, dass beide Anbieter zwar neu eingereichte Apps kontrollieren, nicht aber die später eingereichten Updates.

Gegenüber ZDNet USA erklärten die Forscher, sie hätten Amazon und Google schon vor Monaten über die Schwachstellen informiert – beide Firmen hätten sie jedoch bisher nicht beseitigt. Während Amazon nicht für eine Stellungnahme zur Verfügung stand, erklärte ein Google-Sprecher, die Anfälligkeiten seien beseitigt worden. Google prüfe und lösche zudem alle Aktionen von Apps, die gegen die Richtlinien verstießen. Zudem wies das Unternehmen darauf hin, dass der Home-Assistent niemals nach einem Konto-Passwort frage.

WEBINAR

HPE ProLiant Gen10 Plus Server mit AMD EPYC-Prozessoren der 2. Generation

Neben der herausragenden Performance bieten die neuen HPE ProLiant Gen10 Plus Server mit AMD® EPYC™ Prozessoren der 2. Generation auch in Sachen Sicherheit einzigartige Features: HPEs Silicon Root of Trust ermöglicht zusammen mit dem AMD Secure-Processor einen sicheren Systemstart, Arbeitsspeicherverschlüsselung und sichere Virtualisierung. Erfahren Sie in diesem Webinar, wie Sie von der überlegenen Leistung der HPE Server profitieren.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Hackergruppe OurMine kapert Social-Media-Konten von 15 NFL-Teams

Betroffen sind überwiegend Twitter-Konten. Die Hacker übernehmen aber auch die Kontrolle über Instagram- und Facebook-Konten. Möglicherweise knacken sie zuerst das…

59 Minuten ago

Exploit für frisch gepatchte RDP-Lücke in Windows Server veröffentlicht

Der Proof-of-Concept ermöglicht das Einschleusen und Ausführen von Schadcode. Bisher lag nur Beispielcode für Denial-of-Service-Angriffe vor. Microsoft bietet seit rund…

3 Stunden ago

Bericht: EU stimmt Beteiligung von Huawei am 5G-Netzausbau zu

Das geht angeblich aus einem noch unter Verschluss gehaltenen Bericht der EU-Kommission hervor. Darin ist von einem Ausschluss bestimmter Hersteller…

5 Stunden ago

Patentstreit: Apple zu 85 Millionen Dollar Schadenersatz verurteilt

Ein Gericht reduziert den Betrag von 145 auf 85 Millionen Dollar. Zwischenzeitlich sprach eine Richterin WiLan sogar lediglich 10 Millionen…

7 Stunden ago

Bericht: Avast verkauft Daten seiner Nutzer an Google, Microsoft und Pepsi

Die Daten gibt Avast an die Tochter Jumpshot weiter. Das Unternehmen wiederum bietet Analytics-Dienste für Dritte an. Inzwischen holt Avast…

8 Stunden ago

Mozilla verbannt in zwei Wochen mehr als 200 schädliche Firefox-Add-ons

Sie schleusen Schadcode ein oder stehlen vertrauliche Daten. Auch Codeverschleierung stuft Mozilla als Risiko und damit als unerwünscht ein. Mozilla…

23 Stunden ago