Lautsprecher von Amazon und Google als Wanzen

[English]Deutsche Sicherheitsforscher von Security Reasearch Labs konnten zeigen, wie intelligente Lautsprecher wie Amazon Echo oder Google Home zur Überwachung und zum Phising (ermitteln von Kennwörtern etc.) verwendet werden können.


Anzeige

Intelligente Lautsprecher von Amazon und Google bieten einen einfachen Zugriff auf Informationen über Sprachbefehle. Dass die intelligenten Lautsprecher wie Amazon Echo oder Google Home im Zweifelsfall mehr oder weniger alles, was gesprochen wird, an die Dienste der betreffenden Anbieter übertragen – und dass dort Mitarbeiter u.U. diese Gespräche auswerten müssen, ist bekannt.

Mit Hilfe einer App zur Wanze

Aber die intelligenten Lautsprecher lassen sich gezielt als echte Wanzen einsetzen, Apps machen es möglich. Ich wurde durch den nachfolgenden Tweet auf das Thema aufmerksam.

Aber der englischsprachige Beitrag Smart Spies: Alexa and Google Home expose users to vishing and eavesdropping der Berliner Sicherheitsforscher von SRLabs (Security Reasearch Labs) ist öffentlich abrufbar.

Der Hintergrund: Die Leistungsfähigkeit der intelligenten Lautsprecher kann von Drittanbietern durch kleine Apps (Skills for Alexa und Actions bei Google Home) erweitert werden. Die Apps werfen derzeit echte Datenschutzprobleme auf, denn sie können missbraucht werden, um Benutzer abzuhören oder ihre Passwörter zu ändern (Voice-Phish).

Der Ansatz der Sicherheitsforscher

Sowohl Alexa Skills als auch Google Home Actions werden aktiviert, indem der Benutzer den vom Anwendungsentwickler gewählten Aufrufnamen auswählt. Für ihre Demonstration der Sicherheitsproblematik haben die Forscher Luise Frerichs und Fabian Bräunlein von SRLabs jeweils eine Horoskop-App entwickelt. Die Sicherheitsforscher haben in der Alexa Skills Horoskop-App die Phrase “Alexa, schalte Meine Horoskope ein.” gewählt. Benutzer können dann im Anschluss Funktionen (Intents) innerhalb der App mittels bestimmter Sprachbefehle aufrufen (z.B. “Sag mir mein Horoskop für heute”).

Diese Sprachbefehle können variable Argumente beinhalten, die vom Benutzer als Slot-Werte angegeben werden. Die Eingabeslots werden in Text umgewandelt und an das Anwendungs-Backend gesendet, das oft außerhalb der Kontrolle von Amazon oder Google betrieben wird. Natürlich gibt es auch einen Befehl, um die Auswertung durch Skills oder Actions zu beenden. Dann sollten keine Sprachauswertungen mehr möglich sein.


Anzeige

Amazon und Google kontrollieren die Apps zwar vor einer Freigabe solcher (Skill- bzw. Action) und testen wohl auch, ob die Stopp-Anweisung wirkt. Die Sicherheitsforscher von SRLabs konnten den Code aber nach der Überprüfung ändern, ohne dass dieser erneut von Amazon bzw. Google überprüft wurde. Damit hatten sie die Kontrolle über die intelligenten Lautsprecher, weil sie die von den Benutzern verwendeten Apps kontrollierten. Der Befehl zum Stoppen der Auswertung der Spracheingaben blieb schlicht wirkungslos – die App konnte weiter mithören.

(Quelle: YouTube)

In obigem Video demonstriert eine der beteiligten Sicherheitsforscherin den Ansatz mit der gefakten Horoskope-Skills-App. Im Video werden die von der App erkannten Sprachinformationen eingeblendet. Es ist zu sehen, wie die Sicherheitsforscherin das Stopp-Kommando gibt, dann aber weiter spricht. Die App wertet weiter die Sprachbefehle aus. Über die Apps können die Sicherheitsforscher Informationen wie Kennwörter oder andere Informationen, die der Benutzer gesprochen hat, abfischen.

In der Demo taucht ein gesprochenes Kennwort auf. Auf diese Weise ließen sich aber weitere sensitive Informationen abfischen. Arstechnica hat eine ganze Videoserie der Forscher zum Thema in diesem Artikel eingebettet. Weitere Informationen lassen sich dem SRLabs-Beitrag sowie bei heise oder hier abrufen.

Da sind wir wieder am Punkt, wo die Diskussion los geht: Mache ich erst mal blauäugig was tolles neues und schaue, was bei rum kommt. Dabei ignoriere ich die ewig Gestrigen, die überall Risiken und keine Chance sehen? Oder mache ich mir Gedanken über die Sicherheit und Privatsphäre – und verzichte aus den oben skizzierten Gründen auf so etwas?

Ähnliche Artikel:
Amazons Alexa-Aufzeichnungen werden nicht gelöscht
DSGVO: Google hat Sprachaufzeichnungen weiter gegeben
Apples Siri für Phishing-Angriffe missbrauchen
Siri petzt Inhalte gesperrter Nachrichten
iOS 9.3.1: Siri petzt trotz iPhone-Sperre
Apple-, iOS und OS X: Flash, WLAN-Trouble, Siri petzt und mehr
Amazon verschickt unkontrolliert Alexa-Sprachaufzeichnungen
Warnung der Verbraucherzentrale vor Amazons Alexa
Bekommen App-Entwickler Zugriff auf Alexa-Spracheingaben?
Krass: Amazon Alexa bestellt tausende Puppenhäuser
Apples Siri wird von 500 Millionen Leuten genutzt
Bundestags-Gutachten warnt Eltern vor Amazons Alexa


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Lautsprecher von Amazon und Google als Wanzen


  1. Anzeige
  2. Tom sagt:

    [Zitat]
    [English]Deutsche Sicherheitsforscher von Security Reasearch Labs konnten zeigen, wie intelligente Lautsprecher wie Amazon Echo oder Google Home zur Überwachung und zum Phising (ermitteln von Kennwörtern etc.) verwendet werden können.
    [/Zitat]

    Wieso “können”? – das ist doch schon längst Realität, wie sie George Orwell wohl unwissender weise voraus geschrieben hat!

    Mir kommt so etwas jedenfalls in keinster Art und Weise in meinen Haushalt!

  3. Anonymous sagt:

    Loriot: “ach”

  4. Anzeige

  5. Dietmar sagt:

    @Tom: Da bin ich voll auf Deiner Seite! Nur: Hast Du keinen Taschenspion von Apple, Google, Huawei, Microsoft,…. eingeschoben? Ich leider schon – auch wenn ich meiner Apple-Quasseltante verboten hab mitzuhören, vermute ich doch daß Sie das tut. Und irgendwie macht ja ein Telefon ohne Mikrofon wenig Sinn – obwohl da bin ich zu alt dafür – es gibt ja GottseiDank die total sicheren sozialen Medien – da brauch ich kein Mikro dafür ;))
    Aber zu dem Thema Apps lauschen mit – schau Dir mal dieses Video an (eines von vielen): https://www.youtube.com/watch?v=w88RzqADGPQ

    • Tom sagt:

      @Dietmar
      Das einzig wirklich wissende Verfolgungsgerät ist der RFID-Chip in meinem Taschentelefon(kein smartes Gerät!) und das auch nur, wenn dieses Taschentelefon auch wirklich eingeschaltet ist und das ist es eher selten und wenn, dann wirklich nur wenn es anders nicht geht.

      Aber muß halt jeder für sich selbst entscheiden, wie und vor allem WIEVIEL er von sich preis gibt!

      Schade find’ ich nur, daß es den meisten Leuten EGAL ist – aber gut, sind alles erwachsene Menschen.

      Wenn ich zuhause vor’m Rechner sitze, kann ich auch nur zuhause vor’m Rechner sitzen ;-)

      • Dietmar sagt:

        @Tom: Hoffe Du hast beim Rechner zuhause, so wie ich, auch die Mikros abgestöpselt, Cortana(?) deaktiviert,….
        So ein (unsmartes) Taschentelefon würd ich mir auch wünschen – leider wird man arbeitsbedingt damit “beglückt”.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.