Categories: Sicherheit

Deutsche Forscher entdecken Sicherheitslücken in Alexa- und Google-Home-Geräten

Der deutsche Sicherheitsanbieter Security Research Labs (SRLabs) warnt vor Schwachstellen in den digitalen Assistenten Amazon Alexa und Google Home. Sie erlauben es unter Umständen, Nutzer ohne deren Wissen abzuhören. Ein Missbrauch für Phishing-Angriffe ist ebenfalls möglich.

Es ist nicht das erste Mal, dass ähnliche Anfälligkeiten in den Sprachassistenten aufgedeckt wurden. Alexa traf es bereits im April, Mai und August 2018, Google Home im Mai 2018. Jedes Mal führten die Hersteller neue Sicherheitsvorkehrungen ein, die immer wieder umgangen wurden.

Die jüngste Enthüllung stammt von den Sicherheitsforschern Luise Frerichs und Fabian Bräunlein. Angreifbar ist demnach das Backend der Assistenten, das Entwicklern die Möglichkeit gibt, Sprachbefehle sowie die Antworten der Assistenten anzupassen.

Auslöser ist eine bestimmte Zeichenfolge (�. ), die sich an verschiedenen Stellen im Backend einer Alex- oder Google-Home-App einfügen lässt. Diese Zeichenfolge bringt die Assistenten dazu, über längere Zeiträume still zu sein und gleichzeitig aktiv zu bleiben.

Dieser Umstand würde es beispielsweise einer Horoskop-App erlauben, eine gefälschte Fehlermeldung auszugeben und trotzdem aktiv zu bleiben. Nach einer bestimmten Zeit könnte sie dann wiederum für ein angeblich verfügbares Update von Amazon beziehungsweise Google das Passwort des zugehörigen Kontos abfragen. Allerdings ist in dem Fall, zumindest bei Echo-Geräten, anhand der blauen Status-LED zu erkennen, dass die schädliche App durchgehend aktiv ist – falls ein Nutzer darauf achtet.

Zum Abhören eines Nutzers lässt sich die Zeichenfolge ebenfalls verwenden. Allerdings wird sie erst eingesetzt, nachdem eine schädliche App auf eine Spracheingabe des Opfers reagiert hat. Auch dann bleibt die App aktiv und zeichnet alle weiteren Gespräche auf, um sie an den Server des Angreifers zu übermitteln.

Die Angriffe, die Forscher auch in ihrem Youtube-Channel zeigen, wurden mit Apps ausgeführt, die die Forscher zuvor in den Marktplätzen von Amazon und Google veröffentlicht hatten. Sie machten sich dabei den Umstand zunutze, dass beide Anbieter zwar neu eingereichte Apps kontrollieren, nicht aber die später eingereichten Updates.

Gegenüber ZDNet USA erklärten die Forscher, sie hätten Amazon und Google schon vor Monaten über die Schwachstellen informiert – beide Firmen hätten sie jedoch bisher nicht beseitigt. Während Amazon nicht für eine Stellungnahme zur Verfügung stand, erklärte ein Google-Sprecher, die Anfälligkeiten seien beseitigt worden. Google prüfe und lösche zudem alle Aktionen von Apps, die gegen die Richtlinien verstießen. Zudem wies das Unternehmen darauf hin, dass der Home-Assistent niemals nach einem Konto-Passwort frage.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

6 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

10 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

11 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

11 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

12 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

14 Stunden ago