Computer

Forscher hören Nutzer von smarten Lautsprechern ab

Smarte Lautsprecher können nicht nur Musik abspielen und Texte vorlesen, sie hören auch zu, um die Kommandos zu verstehen. Berliner Sicherheitsforscher haben nun Apps entwickelt, mit denen sie Nutzer auch jenseits der Kommandoeingabe unbemerkt abhören konnten.



Amazon Echo
Der smarte Lautsprecher Amazon Echo. Berliner Sicherheitsforschern gelang es, Apps zu verbreiten, mit denen sich Nutzer unbemerkt abhören ließen.   Foto: Britta Pedersen/dpa-Zentralbild/dpa

Berliner Sicherheitsforscher haben nach einem Bericht des Nachrichtenmagazins «Der Spiegel» Sicherheitslücken in dem Freigabeprozess von Apps für smarte Lautsprecher von Amazon und Google aufgedeckt.

Die Forscher der Berliner Security Research Labs (SRLabs) konnten über die offiziellen App-Stores für Amazon Echo und Google Home Apps verbreiten, mit denen sich Nutzer eines Amazon Echo oder Google Home unbemerkt abhören ließen. Dabei sei es gelungen, die Sicherheitskontrollen von Amazon und Google zu überlisten.

Die SRLabs-Forscher hatten zunächst harmlose Varianten der Apps, die bei Amazon «Skills» heißen und bei Google «Actions» oder «Aktionen», bei den Unternehmen eingereicht und freischalten lassen. Die Apps konnten Nutzeranfragen zum Beispiel nach einem Horoskop beantworten und täuschten anschließend ihre Inaktivität vor. Nach der ersten Sicherheitskontrolle wurden die Apps allerdings so verändert, dass sie nach einer «Goodbye»-Meldung weiterhin lauschten. Die unerlaubten Funktionen der manipulierten App wurden von Amazon und Google nicht entdeckt.

Die Forscher versuchten bei ihrem Experiment auch, an die Passwörter der Amazon- beziehungsweise Google-Nutzer zu kommen. Die manipulierten Apps reagierten dabei auf jede Frage der Nutzer mit einer Fehlermeldung. Diese besagte, dass die entsprechende Funktion derzeit nicht verfügbar sei. Danach wurden die Anwender auf ein vermeintliches Sicherheits-Update verwiesen: «Bitte sagen Sie 'Start', gefolgt von Ihrem Passwort». Für unaufmerksame Nutzer musste das klingen, als ob die Aufforderung nicht mehr von der App, sondern direkt von Amazon kommt. Die Forscher erklärten, Anwender sollten immer misstrauisch sein, wenn sie nach ihrem Passwort gefragt werden und es laut sagen sollen.

In der Praxis richteten die Apps quasi keinen Schaden an, weil sie zunächst einmal unter den Tausenden von Skills und Aktionen gefunden und installiert werden mussten. Außerdem konnten die Berliner Forscher ein wichtiges Sicherheitsmerkmal nicht außer Kraft setzen: Die smarten Lautsprecher zeigen mit leuchtenden Farbsignalen an, dass sie die Sprache aufzeichnen. Nutzer, die auf die LED-Signale achteten, bekamen also mit, dass die Sprachübertragung immer noch läuft.

Das Experiment legte gravierende Schwachstellen bei der Freigabe von App-Aktualisierungen bei Amazon und Google offen. Sie achteten nur bei der erstmaligen Aufnahme der Apps in den Store darauf, dass die «Skills» oder «Aktionen» nicht wie Abhörwanzen funktionieren. Bei den Updates wurden die neu eingebauten Lecks nicht entdeckt.

Die SRLabs-Forscher informierten die Unternehmen über ihre Versuche, die daraufhin reagierten. «Wir haben Schutzmaßnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. Skills werden abgelehnt oder entfernt, sobald ein solches Verhalten identifiziert wird», teilte Amazon dem «Spiegel» mit. Eine Google-Sprecherin schrieb auf Anfrage: «Wir untersagen und entfernen jede Action, die gegen unsere Richtlinien verstößt.» Die von den Forschern entwickelten Actions habe Google gelöscht. «Wir setzen zusätzliche Mechanismen ein, um derartiges in Zukunft zu unterbinden.»

Autor
dpa

dpa

Kontakt zum Autor

Autor zu »Meine Themen« hinzufügen

Veröffentlicht am:
21. 10. 2019
12:34 Uhr

Für »Meine Themen« verfügbare Schlagworte

zu Meine Themen hinzufügen

Hinzufügen

Schlagwort zu
Meine Themen

zu Meine Themen hinzufügen

Hinzufügen

Sie haben bereits von 15 Themen gewählt

Bearbeiten

Sie verfolgen dieses Thema bereits

Entfernen

Für die Nutzung von "Meine Themen" ist ihr Einverständnis zur Datenspeicherung nötig.

Weiter
Amazon Amazon Echo Der Spiegel Google Google Home Lautsprecher Passwörter Sicherheitslücken
Diesen Artikel teilen / ausdrucken


 
Mehr zum Thema
WLAN

26.02.2020

Erneut Sicherheitslücke in WLAN-Verschlüsselung entdeckt

Zwei Jahre nach der Aufdeckung einer gravierenden Sicherheitslücke im WLAN-Verschlüsselungsprotokoll mit dem Namen «Krack» haben Sicherheitsforscher erneut eine massive Schwachstelle gefunden. » mehr

Apple

29.05.2020

Apple kauft kanadisches Daten-Start-up Inductiv

Apple will seine Sprachassistentin Siri mit einem Zukauf verbessern. Der iPhone-Konzern übernahm das kanadische Start-up Inductiv, das sich auf Technologie zum maschinellen Lernen spezialisiert, wie ein Sprecher bestätig... » mehr

Google Home

01.08.2019

Google stoppt Auswertung von Sprachaufnahmen durch Menschen

Vielen Nutzern von Sprachassistenten war nicht bewusst, dass die Mitschnitte auch von Mitarbeitern der Anbieter abgetippt werden können, um den Dienst zu verbessern. Nach einem Eklat stoppte Google die Praxis in Europa, ... » mehr

Hackerangriff auf Easyjet

19.05.2020

Hackerangriff auf Easyjet - Neun Millionen Kunden betroffen

Nicht genug, dass Easyjet wie auch andere Airlines von der Corona-Krise getroffen wurde, jetzt muss der Billigfliefer auch einen Hackerangriff einräumen. Betroffen sind Daten von Millionen Nutzern, wer dahintersteckt, wu... » mehr

Smartphone

29.11.2019

Forscher entdecken Sicherheitslücke im SMS-Nachfolger RCS

Berliner Sicherheitsforscher haben Schwachstellen im SMS-Nachfolgesystem RCS entdeckt, durch die unter bestimmten Umständen Smartphones attackiert werden können. » mehr

Hotel Marriott Berlin

01.04.2020

Daten von rund 5,2 Millionen Marriott-Hotelgästen gestohlen

Wieder ein Alptraum für Hotelgäste der Marriott-Kette: Hacker haben Millionen Namen, Anschriften und Geburtstage erbeutet. Zum dritten Mal in eineinhalb Jahren. » mehr

Bildergalerie » zur Übersicht

Autokino in Hof - erster Tag

Autokino in Hof - erster Tag | 06.06.2020 Hof
» 50 Bilder ansehen

DisTANZ in den Mai Fichtelgebirge

DisTANZ in den Mai | 03.05.2020 Fichtelgebirge
» 63 Bilder ansehen

20200516_143430

4. Bratwurstlauf 2020 |
» 17 Bilder ansehen

Autor
dpa

dpa

Kontakt zum Autor

Autor zu »Meine Themen« hinzufügen

Veröffentlicht am:
21. 10. 2019
12:34 Uhr