Belauscht: Amazon Echo und Google Home können zum Passwort-Phishing und abhören missbraucht werden
Amazons Echo und auch der Google Home-Smart Speaker ist für eine Sicherheitslücke anfällig, mit deren Hilfe sich Angreifer unter Umständen Passwörter von Nutzern aneignen und die Anwender auch belauschen können. Das Problem steckt in der Erweiterbarkeit des Ökosystems und wurde von Sicherheitsforschern aus Deutschland entdeckt.
Ein Smart Speaker ist eine praktische Einrichtung im Wohnzimmer. Besonders die Echos und der Google Home überzeugen durch eine extreme Flexibilität. Diese Erweiterbarkeit des Funktionsumfangs gelingt durch die Skills für Alexa oder Routinen für den Google Home. Auf diese Weise können Zeitungen, Radiosender, Rezepteseiten, Fluglinien und viele andere Dienstleister ihre Inhalte und Produkte per Sprache steuerbar machen und so noch mehr Nutzer erreichen. Genau diese Offenheit der Plattformen kann aber auch zum Problem werden, wie nun der deutsche Sicherheitsspezialist Security Research Labs bewiesen hat. Im Extremfall können Angreifer sich so die Passwörter von Nutzern verschaffen und die Lautsprecher sogar als Abhörgeräte benutzen.
Manipulierte Alexa-Skills können lauschen und den Nutzer ausfragen
Die beiden Mitarbeiter von Security Research Labs Luise Frerichs und Fabian Bräunlein entdeckten eine Anfälligkeit, die sowohl im Backend von Alexa, wie auch bei Google Home vorhanden ist. Hier reicht es, eine bestimmte Zeichenfolge einzuschleusen, um den Eindruck zu erwecken, dass ein Skill beendet wurde. Tatsächlich aber bleibt er aktiv und der Angreifer kann überdies die Sprachansagen des Skills manipulieren und auf die Antworten zugreifen. Im von den Forschern konstruierten Szenario fragte der Skill einer vermeintlichen Horoskope-Seite nach einer Weile nach dem Amazon- oder Google-Passwort eines Nutzers. Nur anhand der blauen Status-LED ließe sich erkennen, dass ein Echo gerade zuhört.
Problematisch an dieser Schwachstelle ist auch, dass sich auf diesem Wege der Nutzer in seinen privaten Räumen belauschen lässt.
Amazon reagiert nicht auf Problem
Es ist nun Aufgabe von Amazon und Google in ihren Skill Stores eingereichte Anwendungen ähnlich peinlich genau zu kontrollieren, wie das bereits in den App Stores für Smartphoneanwendungen der Fall ist.
Laut eigenen Angaben haben die Forscher beide Unternehmen schon vor Monaten auf das Problem aufmerksam gemacht. Während Google inzwischen angab, die Lücke beseitigt zu haben, gab es von Amazon keinerlei Reaktion, weder in Form einer Stellungnahme, noch als Beseitigung der Schwachstelle.
Schön, dass du da bist. Wir würden uns sehr freuen, wenn du uns als TechnikSurfer Leser deinen Freunden weiterempfehlen und uns auf den sozialen Netzwerken folgen würdest, damit du nichts mehr verpasst. Es lohnt sich - garantiert!
Ähnliche Artikel
Echo Plus im Test – ist größer immer besser?
Der im September vorgestellte Echo Plus soll gegenüber seinen Brüdern mit einer Smart Home-Zentrale punkten. Ein größeres Design und dafür ein besserer Sound sollen Kunden überzeugen. Ob das gelingen kann? Wir haben die Echos einer Probekur unterzogen.
Hallo Magenta: Telekom kündigt Smart Speaker mit Alexa-Unterstützung an
Früher als erwartet hat die Telekom ihren Smart Speaker vorgestellt. Er kommt mit einer eigenen Sprachsteuerung, kann Entertain TV steuern und ist mit Amazons Alexa-Skills kompatibel.
HTC U11 life und U11+: Neues Flaggschiff lässt jungen Vorgänger nicht kalt
HTC schickt zum Weihnachtsgeschäft zwei neue Smartphones ins Rennen und erweitert damit seine in diesem Jahr eingeführte U11-Serie. Das junge Flaggschiff bekommt deutliche Konkurrenz, mit guten Spezifikationen will der Taiwaner so richtig punkten.
