Amazons Echo und auch der Google Home-Smart Speaker ist für eine Sicherheitslücke anfällig, mit deren Hilfe sich Angreifer unter Umständen Passwörter von Nutzern aneignen und die Anwender auch belauschen können. Das Problem steckt in der Erweiterbarkeit des Ökosystems und wurde von Sicherheitsforschern aus Deutschland entdeckt.
Ein Smart Speaker ist eine praktische Einrichtung im Wohnzimmer. Besonders die Echos und der Google Home überzeugen durch eine extreme Flexibilität. Diese Erweiterbarkeit des Funktionsumfangs gelingt durch die Skills für Alexa oder Routinen für den Google Home. Auf diese Weise können Zeitungen, Radiosender, Rezepteseiten, Fluglinien und viele andere Dienstleister ihre Inhalte und Produkte per Sprache steuerbar machen und so noch mehr Nutzer erreichen. Genau diese Offenheit der Plattformen kann aber auch zum Problem werden, wie nun der deutsche Sicherheitsspezialist Security Research Labs bewiesen hat. Im Extremfall können Angreifer sich so die Passwörter von Nutzern verschaffen und die Lautsprecher sogar als Abhörgeräte benutzen.
Manipulierte Alexa-Skills können lauschen und den Nutzer ausfragen
Die beiden Mitarbeiter von Security Research Labs Luise Frerichs und Fabian Bräunlein entdeckten eine Anfälligkeit, die sowohl im Backend von Alexa, wie auch bei Google Home vorhanden ist. Hier reicht es, eine bestimmte Zeichenfolge einzuschleusen, um den Eindruck zu erwecken, dass ein Skill beendet wurde. Tatsächlich aber bleibt er aktiv und der Angreifer kann überdies die Sprachansagen des Skills manipulieren und auf die Antworten zugreifen. Im von den Forschern konstruierten Szenario fragte der Skill einer vermeintlichen Horoskope-Seite nach einer Weile nach dem Amazon- oder Google-Passwort eines Nutzers. Nur anhand der blauen Status-LED ließe sich erkennen, dass ein Echo gerade zuhört.
Problematisch an dieser Schwachstelle ist auch, dass sich auf diesem Wege der Nutzer in seinen privaten Räumen belauschen lässt.
Amazon reagiert nicht auf Problem
Es ist nun Aufgabe von Amazon und Google in ihren Skill Stores eingereichte Anwendungen ähnlich peinlich genau zu kontrollieren, wie das bereits in den App Stores für Smartphoneanwendungen der Fall ist.
Laut eigenen Angaben haben die Forscher beide Unternehmen schon vor Monaten auf das Problem aufmerksam gemacht. Während Google inzwischen angab, die Lücke beseitigt zu haben, gab es von Amazon keinerlei Reaktion, weder in Form einer Stellungnahme, noch als Beseitigung der Schwachstelle.