'Spiegel': Sicherheitsforscher hören Nutzer von smarten Lautsprechern ab

Der smarte Lautsprecher Amazon Echo. Berliner Sicherheitsforschern gelang es Apps zu verbreiten mit denen sich Nutzer unbemerkt abhören ließen

Genau hier liegt der Angriffsvektor auf Geräte mit Google Home und Amazon Alexa - eine gefährliche Schwachstelle von Google Home und Amazon Alexa zeigen Luise Frerichs und Fabian Bräunlein von SRLabs aus Berlin nun auf: Dritt-Apps können durch Einfügen von "Pausen" deutlich länger die gesprochenen Inhalte aufzeichnen und verwerten als nötig wäre. Skill auf Google Home und Amazon Alexa ausgeführt, der "My lucky horoskope" heißt und von den Sicherheitsexperten als Beispiel dient, wie Apps und Skills zu Phishing Zwecken missbraucht werden können.

Die Forscher raten den Nutzern, bei der Installation von Sprach-Apps für ihre smarten Lautsprecher genauso viel Vorsicht walten zu lassen wie bei der Installation von Apps auf Smartphones. Nach der ersten Sicherheitskontrolle wurden die Apps allerdings so verändert, dass sie nach einer "Goodbye"-Meldung weiterhin lauschten". Die Betreiber solcher Plattformen wie Amazon und Google seien gleichzeitig dafür verantwortlich, die Sicherheitskontrollen bei der Zulassung von externen Apps zu verschärfen. Wie die Security Research Labs schliesslich erklären, habe man Amazon und Google über die Ergebnisse des Experimentes informiert. Danach wurden die Anwender auf ein vermeintliches Sicherheits-Update verwiesen: "Bitte sagen Sie 'Start', gefolgt von Ihrem Passwort". Für unaufmerksame Nutzer musste das klingen, als ob die Aufforderung nicht mehr von der App, sondern direkt von Amazon kommt.

In der Praxis richteten die Apps quasi keinen Schaden an, weil sie zunächst einmal unter den Tausenden von Skills und Aktionen gefunden und installiert werden mussten. Nutzer, die auf die LED-Signale achteten, bekamen also mit, dass die Sprachübertragung immer noch läuft. Sie achteten nur bei der erstmaligen Aufnahme der Apps in den Store darauf, dass die "Skills" oder "Aktionen" nicht wie Abhörwanzen funktionieren. Wir haben den betreffenden Skill umgehend blockiert und Schutzmassnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. "Skills werden abgelehnt oder entfernt, sobald ein solches Verhalten identifiziert wird", sagt ein Amazon Sprecher gegenüber futurezone. Eine Google-Sprecherin schrieb auf Anfrage: "Wir untersagen und entfernen jede Action, die gegen unsere Richtlinien verstößt". Die von den Forschern entwickelten Actions habe Google gelöscht. "Wir setzen zusätzliche Mechanismen ein, um derartiges in Zukunft zu unterbinden".

Related:

Comments

Latest news

München: Schauspielerin Billie Zöckler ist tot - "Kir Royal" machte sie berühmt | München
Der Schlagabtausch der beiden drehte sich meist darum, dass die Sekretärin zu freizügig angezogen war. " Es stimmt, Billie ist tot ", bestätigte ihre Schwägerin Martina Zöckler gegenüber BILD .

Daniela Büchner & Jennifer Matthias: Der Streit eskaliert!
"Aber nun hat sie den Bogen überspannt!", beginnt sie ihre Schimpftirade auf Instagram . Daniela Büchner selbst äußerte sich ebenfalls zu dem krassen Eintrag von Jenny.

Til Schweiger ätzt gegen Tukur-"Tatort": "Puppenkiste ist spannender"
Dazu gab es Filmzitate satt von Howard Hawks bis John Carpenter sowie ein Krimi-Setting zwischen Western und Zombie-Gemetzel. Murot will auf dem Weg in den Urlaub einen alten Freund in einer Polizeiwache zwischen Offenbach und Frankfurt besuchen.

Hillary Clinton verbreitet Parodie zu Trumps Erdogan-Brief
Sie twitterte den Fake-Brief, fügte hinzu: "Im Archiv gefunden ..." "Umarmungen, John Fitzgerald Kennedy". Seien Sie kein Narr! Die Demokratin veröffentlichte einen Satire-Brief seines Schreibens an Erdogan.

London bittet um Brexit-Verschiebung
Das neue Brexit-Abkommen könnte nach Ansicht des britischen Außenministers Dominic Raab doch noch vom Parlament gebilligt werden. Neuer Anlauf am Montag? Johnson will das Unterhaus spätestens am Dienstag über den Austrittsvertrag abstimmen lassen.

Other news