'Spiegel': Sicherheitsforscher hören Nutzer von smarten Lautsprechern ab

Amazon Alexa

Genau hier liegt der Angriffsvektor auf Geräte mit Google Home und Amazon Alexa - eine gefährliche Schwachstelle von Google Home und Amazon Alexa zeigen Luise Frerichs und Fabian Bräunlein von SRLabs aus Berlin nun auf: Dritt-Apps können durch Einfügen von "Pausen" deutlich länger die gesprochenen Inhalte aufzeichnen und verwerten als nötig wäre. Skill auf Google Home und Amazon Alexa ausgeführt, der "My lucky horoskope" heißt und von den Sicherheitsexperten als Beispiel dient, wie Apps und Skills zu Phishing Zwecken missbraucht werden können.

Die Forscher raten den Nutzern, bei der Installation von Sprach-Apps für ihre smarten Lautsprecher genauso viel Vorsicht walten zu lassen wie bei der Installation von Apps auf Smartphones. Nach der ersten Sicherheitskontrolle wurden die Apps allerdings so verändert, dass sie nach einer "Goodbye"-Meldung weiterhin lauschten". Die Betreiber solcher Plattformen wie Amazon und Google seien gleichzeitig dafür verantwortlich, die Sicherheitskontrollen bei der Zulassung von externen Apps zu verschärfen. Wie die Security Research Labs schliesslich erklären, habe man Amazon und Google über die Ergebnisse des Experimentes informiert. Danach wurden die Anwender auf ein vermeintliches Sicherheits-Update verwiesen: "Bitte sagen Sie 'Start', gefolgt von Ihrem Passwort". Für unaufmerksame Nutzer musste das klingen, als ob die Aufforderung nicht mehr von der App, sondern direkt von Amazon kommt.

In der Praxis richteten die Apps quasi keinen Schaden an, weil sie zunächst einmal unter den Tausenden von Skills und Aktionen gefunden und installiert werden mussten. Nutzer, die auf die LED-Signale achteten, bekamen also mit, dass die Sprachübertragung immer noch läuft. Sie achteten nur bei der erstmaligen Aufnahme der Apps in den Store darauf, dass die "Skills" oder "Aktionen" nicht wie Abhörwanzen funktionieren. Wir haben den betreffenden Skill umgehend blockiert und Schutzmassnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. "Skills werden abgelehnt oder entfernt, sobald ein solches Verhalten identifiziert wird", sagt ein Amazon Sprecher gegenüber futurezone. Eine Google-Sprecherin schrieb auf Anfrage: "Wir untersagen und entfernen jede Action, die gegen unsere Richtlinien verstößt". Die von den Forschern entwickelten Actions habe Google gelöscht. "Wir setzen zusätzliche Mechanismen ein, um derartiges in Zukunft zu unterbinden".

Related:

Comments

Latest news

Daniela Büchner & Jennifer Matthias: Der Streit eskaliert!
"Aber nun hat sie den Bogen überspannt!", beginnt sie ihre Schimpftirade auf Instagram . Daniela Büchner selbst äußerte sich ebenfalls zu dem krassen Eintrag von Jenny.

Australien: Warum die Zeitungen geschlossen ihre Titelseiten schwärzen
Sie kritisieren, im Namen der Sicherheit seien Gesetze erlassen worden, die die Arbeit von Journalisten erschwerten. Auf Blättern wie dem " Sydney Morning Herald " oder dem " Australian " verdeckten schwarze Balken Text und Fotos.

Lufthansa-Töchter: UFO verlängert Streik der Flugbegleiter bis Mitternacht
Schlechte Nachrichten für Flugpassagiere: Die Kabinengewerkschaft Ufo hat ihren Warnstreik auf den ganzen Sonntag ausgeweitet. In einem Führungsstreit sind mehrere Vorstände zurückgetreten , darunter auch der langjährige Vorsitzende Nicoley Baublies.

Liverpools Siegesserie gerissen: Remis im Old Trafford - Fußball
Gegen den kriselnden Traditionsclub Manchester United rettete das Team von Teammanager Jürgen Klopp noch ein 1:1-Unentschieden. Dementsprechend ungefährlich - und mitunter ideenlos - war die Übermannschaft der Liga im Old Trafford.

"Wir kehren zurück": Salvini führt Anti-Regierungs-Demo in Rom an
Diesen Plan durchkreuzten aber die Fünf-Sterne-Bewegung und die sozialdemokratische PD durch die Bildung einer neuen Koalition. Die Mitte-Rechts-Kräfte forderten geschlossen Neuwahlen und kritisierten die Haushaltspläne der zweiten Regierung Conte.

Other news