Sprachaufzeichnungen (Alexa, Siri & Co) - "heimliches" Abhören durch Mitarbeiter

  • Allgemein

  • mad.de
  • 5941 Aufrufe 14 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Sprachaufzeichnungen (Alexa, Siri & Co) - "heimliches" Abhören durch Mitarbeiter

    Tausende Amazon-Mitarbeiter hören Alexa-Mitschnitte ab

    Tausende Amazon-Mitarbeiter hören sich zu Analysezwecken die Sprachaufzeichnungen von Alexa an. Der Alexa-Nutzer erfährt davon nichts.

    Tausende Amazon-Mitarbeiter hören sich zu Analysezwecken die Sprachaufzeichnungen von Alexa an, wie Bloomberg berichtet. Die lauschenden Mitarbeiter gehören zu einem weltweiten Amazon-Team. Die Teammitglieder sitzen in Boston, Costa Rica, Indien und Rumänien. Die Mitarbeiter müssen eine Verpflichtung unterschreiben, dass sie nicht öffentlich über ihre Arbeit sprechen.

    Bloomberg bezieht sich bei seinem Bericht auf die Aussagen von sieben ehemaligen Mitarbeitern dieses Teams. Dieses weltweite Team besteht demnach sowohl aus Mitarbeitern von externen Unternehmern wie auch aus direkt bei Amazon angestellten Personen.

    Bis zu 1000 Alexa-Aufzeichnungen pro 9-Stunden-Arbeitstag kann ein einzelner dieser Amazon-Mitarbeiter abhören. Die Alexa-Nutzer wissen nichts davon und erfahren auch nicht, wenn genau ihre Aufzeichnung abgehört wird.

    Die Mitarbeiter sollen die Alexa-Mitschnitte aufschreiben und kommentieren. Das Ergebnis dieser Arbeit fließt dann auf die Alexa-Server zurück und soll helfen, die Qualität von Alexas Antworten zu verbessern. Amazon will mit der Arbeit dieses mehrere tausend Personen zählenden Teams die Verständnislücken von Alexa nach und nach schließen. Alexa soll so immer besser die Fragen der Nutzer verstehen und zielgerichteter antworten können. Alexa lernt also keineswegs nur dank KI von selbst dazu, sondern braucht und bekommt ständig auch Input von menschlicher Intelligenz.

    Der Ablauf soll folgendermaßen sein: Aus den Alexa-Sprachaufzeichnungen wird maschinell nach dem Zufallsprinzip eine kurze Sprachaufzeichnung des Nutzers ausgewählt. Diese Audio-Datei wird an einen Amazon-Mitarbeiter geschickt. Der Mitarbeiter schreibt dann die Kommandos auf, die der Alexa-Nutzer gesagt hat und vergleicht seine Aufzeichnung mit dem maschinell von Alexa erstellten Transkript. Oder er kommentiert die Interaktion zwischen Alexa und dem Nutzer unter dem Gesichtspunkt: Lieferte Alexa eine befriedigende Antwort?

    Alexa soll grundsätzlich erst nach dem vereinbarten Startwort – im Standardfall ist das "Alexa" – mit der Aufzeichnung beginnen. Doch die Teammitarbeiter bekamen lauf dem Bloombergbericht häufig auch Audio-Schnipsel, die anscheinend ohne dieses Startwort begannen. Bis zu 100 ungewünschte Aufzeichnungen soll ein Mitarbeiter pro Tag zu hören bekommen!

    Wenn ein lauschender Amazon-Mitarbeiter einen Audioclip anhört, der seiner Meinung nach privater Natur ist oder Bankdaten enthält und von niemanden sonst angehört werden sollte, dann soll der Mitarbeiter diesen Audioclip entsprechend markieren und zum nächsten Clip weitergehen. Wenn ein Mitarbeiter Hilfe bei der Transkription benötigt, dann kann er Kollegen in einem Chatroom um Rat fragen.

    Es kommt offensichtlich durchaus vor, dass die Audio-Aufzeichnungen sehr unangenehme, beunruhigende oder vielleicht sogar strafrechtlich relevante Inhalte beinhalten. Laut zweier rumänischer Mitarbeiter mischt sich Amazon da aber nicht ein.

    Amazon bestätigt grundsätzlich die Mitschriften
    Amazon betonte gegenüber Bloomberg, dass man die Privatsphäre der Alexa-Nutzer ernst nähme. Amazon würde nur extrem wenige Beispiele von Alexa-Sprachaufzeichnungen kommentieren lassen, um die Qualität von Alexa zu verbessern. Die Mitarbeiter aus dem Team würden laut Amazon die Urheber der Sprachaufzeichnungen nicht identifizieren können. Auf einem Screenshot, der Bloomberg vorliegt, soll man aber sehen können, dass bei einer Audio-Aufzeichnung eine Account-Nummer sowie der Vorname des Alexa-Nutzers und die Seriennummer des Alexa-Gerätes stehen.

    In seinen Nutzungsbedingungen sagt Amazon nicht explizit, dass Menschen bei Alexa zuhören können. Amazon schreibt lediglich, dass es die Alexa-Aufzeichnungen zum Training und zur Verbesserung von Alexa benutzen würde. Damit könnte Amazon aber auch rein automatisierte, KI-basierte Verfahren beziehungsweise Maschinenlernen meinen. Tatsächlich helfen hier aber auch Menschen mit.

    Laut Bloomberg helfen auch bei Apples Siri und beim Google Assistant Menschen bei der Verbesserung der Sprachassistenten.

    Quelle: Tausende Amazon-Mitarbeiter hören Alexa-Mitschnitte ab - PC-WELT

  • Verbraucherschutzministerin fordert Stopp des Abhörens über Alexa

    Das Abhören über Alexa ist ein extremer Eingriff in die Persönlichkeitsrechte. In den Nutzungsbedingungen sei das Vorgehen nicht eindeutig beschrieben.

    Anne Spiegel (Grüne) hat als Vorsitzende der Verbraucherschutzministerkonferenz Amazon aufgefordert, das Abhören von Bürgern über den Sprachassistenten Alexa sofort zu stoppen. Zudem müssten die Aufsichtsbehörden für den Datenschutz die Nutzungsbedingungen von Amazon dringend überprüfen, forderte die rheinland-pfälzische Verbraucherschutzministerin am Freitag in Mainz. "Das Abhören persönlicher Gespräche in der eigenen Wohnung ist ein extremer Eingriff in die Persönlichkeitsrechte." Die Nutzer könnten der Funktion in den Einstellungen jedoch widersprechen.

    "Die Betroffenen müssen unverzüglich informiert werden", verlangte Spiegel. Aus Amazons Nutzungsbedingungen gehe nicht eindeutig hervor, dass die Kommunikation mit dem Sprachassistenten nachträglich von Mitarbeitern angehört und schriftlich festgehalten werden könne. Am Donnerstag war bekannt geworden, dass Amazon Mitarbeiter aufgezeichnete Befehle von Nutzern an seine Assistenzsoftware Alexa anhören und abtippen lässt, um die Spracherkennung zu verbessern. Der Konzern hatte die Vorgehensweise bestätigt. "Wir versehen nur eine extrem geringe Anzahl von Interaktionen einer zufälligen Gruppe von Kunden mit Anmerkungen, um die Nutzererfahrung zu verbessern."

    Abschaltung möglich
    Wenn Verbraucher nicht wollten, dass Amazon-Mitarbeiter möglicherweise ihre Fragen an den Sprachassistenten hörten, sollten sie so vorgehen: "In den zugehörigen Apps der Sprachassistenten für iOS und Android kann man links oben auf das Menü-Symbol klicken, meistens als drei kleine Streifen zu erkennen. Unter Einstellungen/Alexa-Konto/Alexa Datenschutz findet man ganz unten die Option "Legen Sie fest, wie Ihre Daten Alexa verbessern sollen."" Die beiden angebotenen Optionen sollten dann deaktiviert werden.

    Quelle: Verbraucherschutzministerin fordert Stopp des Abhörens über Alexa | heise online

  • Amazon speichert Sprachaufnahmen von Alexa-Nutzern unbegrenzt

    Nutzer können die Aufnahmen jedoch manuell löschen. Dann entfernt Amazon in der Regel auch die Abschriften dieser Aufnahmen von seinen Servern. Bestimmte zusätzliche Daten wie Interaktionen mit Alexa und Reaktion des Assistenten bewahrt Amazon trotzdem auf.

    Amazon speichert Sprachaufnahmen, die Kunden bei der Interaktion mit dem digitalen Assistenten Alexa anfertigen, auf unbestimmte Zeit. Das bestätigte das Unternehmen gegenüber dem demokratischen Senator Chris Coons. Er wollte von Amazon wissen, wie lange es Sprachaufzeichnungen und Abschriften davon vorhält.

    „Wir behalten die Sprachaufzeichnungen und Transkriptionen unserer Kunden, bis der Kunde sie löscht“, schreibt Brian Huseman, Vice President für Public Policy bei Amazon, in seiner Antwort an den Senator. „Wenn ein Kunde eine Sprachaufzeichnung löscht, löschen wir die Abschriften, die mit dem Konto des Kunden verbunden sind, sowohl für die Anfrage des Kunden als auch für die Antwort von Alexa.“

    Zudem betonte er, dass Amazon dauerhaft dafür sorge, dass die Abschriften nicht in irgendwelchen anderen Speichersystemen von Alexa verbleiben. Im Klartext bedeutet dies jedoch, dass alle Sprachaufnahmen auf Amazons Servern verbleiben, außer der Nutzer löscht diese manuell – vorausgesetzt, ihm ist die Speicherpraxis überhaupt bekannt. Außerdem räumt Amazon damit ein, dass möglicherweise einzelne Abschriften nicht zusammen mit den Sprachaufnahmen gelöscht wurden und werden.
    Darüber hinaus macht das Unternehmen darauf aufmerksam, dass andere Informationen über Interaktionen von Kunden mit Alexa, inklusive der Reaktion von Alexa, ebenfalls dauerhaft gespeichert werden, und zwar auch noch nach der Löschung der Audioaufnahmen. Solche Daten werden laut Amazon aber auch von den Entwicklern von Amazon Skills vorgehalten. Dazu gehören auch Details zu Bestellungen, die per Alexa getätigt wurden und die den Anbietern dann als Kaufbeleg dienen.

    Die Abschriften der Sprachaufzeichnungen werden nicht anonymisiert und sind weiterhin dem Kundenkonto zugeordnet. Amazon nutzt diese Abschriften, um seine Sprachverarbeitungssysteme zu trainieren und auch um Mitarbeiter weiterzubilden. Unter anderem sollen Mitarbeiter in den USA bis zu 1000 Audioclips täglich abspielen, um einen Kontext zu einem Befehl herzustellen. Die Auswertung der Aufzeichnungen soll aber auch helfen, Faktoren wie Alter des Nutzers, Sprachbehinderungen oder ausländische Akzente bei der Verarbeitung von Sprachbefehlen zu berücksichtigen.

    Der Senator zeigte sich indes durch Amazons Antwort nicht zufriedengestellt. “ Die Antwort von Amazon lässt die Möglichkeit offen, dass Abschriften von Benutzersprachinteraktionen mit Alexa nicht von allen Servern von Amazon gelöscht werden, auch wenn ein Benutzer eine Aufzeichnung seiner Stimme gelöscht hat. Darüber hinaus ist noch unklar, inwieweit diese Daten an Dritte weitergegeben werden und wie diese Dritten diese Informationen verwenden und kontrollieren“, erklärte Coons gegenüber News.com.

    Quelle: Amazon speichert Sprachaufnahmen von Alexa-Nutzern unbegrenzt | ZDNet.de

  • Amazon lässt Alexa-Mitschnitte im Home Office auswerten
    Allein die Tatsache, dass Mitarbeiter von Amazon, Apple und Google die Aufnahmen von Sprachassistenten anhören, sorgte bei Nutzern schon für Aufruhr. Jetzt heisst es, dass Amazon-Mitarbeiter teils zu Hause am Küchentisch auswerten.
    von dpa 05.08.2019

    In der Debatte um die Auswertung von Nutzerdaten aus Sprachassistenten ist Amazons Dienst Alexa erneut in den Fokus geraten.

    Laut einem Bericht der «Welt am Sonntag» sollen befristete Angestellte teilweise von zu Hause aus Daten aus Amazons Sprachassistentin Alexa auswerten. «Einigen Mitarbeitern ist es gestattet, von anderen Orten aus zu arbeiten», erklärte Amazon dazu. «Dabei gelten strenge Sicherheitsmassnahmen und Richtlinien, an die sich jeder Mitarbeiter halten muss.» Es sei auch eindeutig festgelegt, «dass Mitarbeiter niemals an öffentlichen oder nicht-autorisierten Orten arbeiten dürfen».

    Seit diesem Wochenende bietet Amazon Alexa-Nutzern, die sich um ihre Daten sorgen, eine neue Option an: Sie können die Auswertung von Mitschnitten durch Mitarbeiter des Konzerns verhindern. In der Alexa-App findet sich nun ein Schalter dafür (App ist in der Schweiz nicht verfügbar).

    In den vergangenen Wochen hatte es zunehmend Kritik daran gegeben, dass sich auch Menschen aufgezeichnete Fragmente von Unterhaltungen der Nutzer anhören und abtippen, um die Spracherkennung zu verbessern. Die jahrelange Praxis war den Nutzern bis vor wenigen Monaten weitestgehend unbekannt.

    Nun weist die Alexa-App die Nutzer in einem Punkt in den Datenschutz-Einstellungen erstmals ausdrücklich darauf hin, die Sprachaufnahmen werden «möglicherweise bei der Entwicklung neuer Funktionen verwendet und hierbei manuell überprüft, um unsere Services zu verbessern». Davon sei nur ein «sehr kleiner Anteil» der Mitschnitte betroffen. Über dem Software-Schalter, der das ablehnt, platzierte Amazon einen Warnhinweis, dass das Ausschalten möglicherweise Funktionen einschränkt.

    Job zur Auswertung als Telearbeit beworben

    In Polen bewarb ein Zeitarbeitsdienstleister die Jobs zur Auswertung von Alexa-Aufnahmen in inzwischen gelöschten Anzeigen der «Welt am Sonntag» zufolge als «Telearbeit im ganzen Land». Ein Zeitarbeiter sagte dem Blatt, er und viele seiner Kollegen arbeiteten vom Küchentisch aus. Amazon betonte: «Der Zugang zu internen Systemen wird streng kontrolliert und wir verfolgen eine Null-Toleranz-Politik, wenn unsere Prozesse nicht befolgt werden.» Alle Mitarbeiter nutzten «sichere, proprietäre Tools, um Alexa zu verbessern».

    Dass Fragmente von Alexa-Aufnahmen auch von Menschen ausgewertet werden, war im Frühjahr durch einen Bericht des Finanzdienstes Bloomberg bekannt geworden. Damals ging es um das Anhören der Aufnahmen bei einem Dienstleister in Rumänien.

    Auswertung durch Menschen auch bei Google und Apple

    Schnell kam heraus, dass dies auch bei den beiden anderen vielgenutzten Sprachassistenten – Apples Siri und dem Google Assistant – der Fall ist. Bei Apple gab es zumindest einen Hinweis auf solche Transkriptionen in einem Sicherheitsdokument für Entwickler. Keiner der Anbieter wies aber bei der Einrichtung der Assistenten ausdrücklich darauf hin, dass auch ihre Mitarbeiter oder Dienstleister die Aufnahmen zu hören bekommen könnten.

    Anfang Juli kam eine neue Welle der Kritik, nachdem Mitschnitte vom Google Assistant aus den Niederlanden geleakt wurden. Das veranlasste den Hamburger Datenschützer Johannes Caspar, ein Verwaltungsverfahren gegen Google einzuleiten. Der Internetkonzern setzte bereits Anfang Juli die Auswertung der Aufnahmen durch Menschen weltweit aus – wie allerdings erst jetzt bekannt wurde. Apple folgte mit einem weltweiten Stopp am vergangenen Freitag – und versprach zudem, die Nutzer ausdrücklich um eine Erlaubnis zum nachträglichen Anhören von Mitschnitten durch Mitarbeiter zu fragen. Die Funktion solle in einem späteren Software-Update umgesetzt werden, hiess es.

    Sprachassistenz-Software wie Alexa oder Siri reagiert auf Sprachbefehle des Nutzers. Ein Beispiel: Auf «Alexa, wie spät ist es?» antwortet der Assistent mit der Uhrzeit. Die Alexa-Software wird vor allem auf den Echo-Lautsprechern des Konzerns genutzt. Amazon arbeitet aber – genau wie Google bei seinem Assistant – daran, sie in möglichst vielen Geräten verschiedener Hersteller unterzubringen. Siri kann man nur auf Apple-Geräten aufrufen.

    Die Assistenten starten die Aufzeichnung grundsätzlich erst, wenn sie das Aktivierungswort – «Okay, Google», «Alexa» oder «Hey, Siri» – hören. Allerdings müssen die Mikrofone ständig aktiv sein, um das Weckwort nicht zu verpassen.

    Die fehlerhaften Aktivierungen, bei denen die Software glaubt, ihr Weckwort gehört zu haben, sind dabei ein besonderes Problem. Denn dabei können Sätze und Unterhaltungen aufgezeichnet werden, die nicht an die Sprachassistentin gerichtet waren. Beim nachträglichen Anhören sollen die Mitarbeiter auch herausfinden, welche Worte oder Geräusche die versehentliche Aktivierung auslösten, um die Software entsprechend anzupassen. Laut Google werden rund 0,2 Prozent der Aufzeichnungen nachträglich angehört, Apple und Amazon zufolge sind es weniger als 1 Prozent.


    Quelle: Amazon lässt Alexa-Mitschnitte im Home Office auswerten

  • Auch Microsoft lässt Spracheingaben von Menschen analysieren
    Sprachaufzeichnungen des Skype-Übersetzers sowie von Cortana können nachträglich von Microsoft-Mitarbeitern angehört und analysiert werden.
    von dpa 08.08.2019

    Aufzeichnungen von Anrufen mit dem Microsoft-Dienst Skype, bei denen die automatische Übersetzungsfunktion genutzt wurden, können laut einem Medienbericht nachträglich auch von Mitarbeitern angehört werden. Dabei kann es auch um sehr private Themen gehen, wie die Website «Motherboard» am Mittwoch berichtete. Auf von einem Dienstleister weitergegebenen Mitschnitten hätten Leute zum Beispiel über Beziehungsprobleme oder Gewichtsverlust gesprochen, schrieb «Motherboard».

    In den Skype-Nutzungsbedingungen wurde bisher nicht ausdrücklich darauf hingewiesen, dass auch Menschen Aufnahmen aus der Übersetzungsfunktion zu hören bekommen könnten – auch wenn einige Formulierungen dies andeuteten. So heisst es, dass «Sätze und automatische Abschriften analysiert werden» und eventuelle Korrekturen ins System eingetragen würden.

    Skype betonte auch, dass die Identität der Gesprächsteilnehmer dabei weggelassen werde. Nur Gespräche mit der Übersetzungsfunktion würden aufgezeichnet. Der zu Microsoft gehörende Internettelefonie-Dienst bietet die automatische Übersetzung von Gesprächen fast in Echtzeit seit 2015 an. Inzwischen ist sie bei Anrufen für acht Sprachen verfügbar. «Skype Translator basiert auf einem maschinellen Lernprozess», heisst es auf einer Webseite zu dem Thema. Ein Link zu «Datenschutz bei Verwendung von Skype Translator» führte am Mittwoch zu einem Bereich, der nur für Microsoft-Mitarbeiter und -Partner zugänglich ist.

    Auch Cortana-Sprachbefehle betroffen

    Dem Informanten von «Motherboard» zufolge hören sich Dienstleister zum Teil auch Mitschnitte von Sprachbefehlen an Microsofts Assistenz-Software Cortana an. In den vergangenen Monaten waren die Microsoft-Konkurrenten Amazon, Apple und Google unter massive Kritik geraten, weil sie Nutzer nicht auf diese Praxis hinwiesen. Inzwischen setzten Google und Apple die Auswertung von Aufzeichnungen zur Verbesserung ihrer Sprachassistenten aus. Amazon bietet Nutzern die Möglichkeit, einer solchen Verwendung von Mitschnitten zu widersprechen. Apple kündigte an, Nutzer künftig ausdrücklich um Zustimmung dazu zu bitten.

    Microsoft erklärte in einer Stellungnahme an «Motherboard», man erhalte eine Erlaubnis der Nutzer vor der Sammlung und Verwendung ihrer Daten. Bevor Informationen an Dienstleister gehen, würden sie anonymisiert und die Partner seien an strikte Vertraulichkeitsvorgaben gebunden.


    Quelle: Auch Microsoft lässt Spracheingaben von Menschen analysieren

  • Siri-"Abhörerin" über Apple-Nutzer: Dirty Talk und das F.-Wort

    Eine Zeitung konnte mit einer Frau reden, die für eine Apple-Partnerfirma Siri-Anfragen korrigiert. Leicht ist der Job nicht.

    Apples Sprachassistentin Siri bekommt von ihren Nutzern einiges zu hören. Das weiß Renate F., Mitarbeiterin eines Vertragspartners des iPhone-Konzerns, ganz genau: Sie muss laut dem Tagesspiegel Anfragen an das System transkribieren und korrigieren.

    Dass das Menschen tun, ist vielen Usern unklar – auch bei Amazons Alexa und Googles Assistant ist dies aber gängige Praxis. Denn niemand kann Algorithmen des maschinellen Lernens besser trainieren.

    Checken, ob es stimmt
    Die Tätigkeit von F. besteht laut dem Bericht darin, auf dem Bildschirm eine Tonspur zu sehen und dann zu lesen, was Siri vom Sprachbefehl des Nutzers verstanden hat. Ist dies fehlerhaft, kann die Mitarbeiterin korrigierend eingreifen. Häufig stimme die Transkribierung, manchmal aber auch nicht. Was F. wundert: Nicht selten gibt es auch "Dirty Talk" mit Siri, was besonders Männer täten. Dann klickt sie oft auf den Knopf "unverständlich", um sich die Inhalte nicht länger anhören zu müssen, obwohl dies eigentlich nicht erlaubt sei.

    Die Tätigkeit, die sich "Transcriber" oder "Corrector" nennt, wird nicht von Apple selbst durchgeführt. Stattdessen ist F. bei einer spanischen Partnerfirma angestellt, die in Barcelona sitzt. 30 Stunden pro Woche ist sie beschäftigt und höre 1200 bis 1800 Siri-Sprachfetzen pro Tag. Das Team sei international. Neben Dirty Talk hört F. auch häufig das Wort "Fotze". Es komme "überraschend oft" vor. Für Kinder sei Siri wie eine Freundin. Die gäben der Sprachassistentin außerdem die klarsten Befehle.

    "Fairer" Arbeitgeber
    F" war früher als freie Fremdsprachenlehrerin beschäftigt, wollte aber ein festes Gehalt. Ihren Arbeitgeber bezeichnet sie gegenüber der Zeitung als "fair". Nach zwei Befristungen gibt es eine Festanstellung. Spanische Medien hatten zuvor von schlechten Arbeitsbedingungen bei "Transcriber"-Firmen berichtet, die unter anderem für Google tätig sind.

    Wie es mit dem Job von F. jetzt weitergeht, ist unklar. Apple hatte kürzlich beschlossen, Siri-Befehle nicht mehr durch Menschen auswerten zu lassen – beziehungsweise demnächst eine Opt-In-Möglichkeit zu schaffen, mit der Nutzer erlauben können, dass dies passiert. "Wir haben bisher noch nichts von unserem Arbeitgeber gehört, ob das an unserem Job etwas ändert oder ob wir ihn sogar verlieren", sagt F., die aktuell unter Beibehaltung von Vertrag und Gehalt beurlaubt ist, aber "jederzeit zur Verfügung" stehen muss.

    Quelle: Siri-"Abhörerin" über Apple-Nutzer: Dirty Talk und das F.-Wort | heise online

  • Auch Facebook ließ Mitarbeiter Sprachaufnahmen von Nutzern abtippen

    Tech-Konzerne demonstrierten gern, wie gut ihre Software Sprache versteht. Dabei blieb im Dunklen, wie sehr sie auf Menschen angewiesen ist – auch bei Facebook.

    Auch Facebook hat Mitarbeiter Sprachaufnahmen von Nutzern anhören und abtippen lassen und zwar solche aus dem Chatdienst Messenger. Betroffen gewesen seien Nutzer, die die Transkriptions-Funktion für Sprachunterhaltungen eingeschaltet hätten, erklärte das Online-Netzwerk am Dienstag dem Finanzdienst Bloomberg.

    Aufgabe der Mitarbeiter sei gewesen, zu prüfen, ob die Software die gesprochenen Sätze korrekt verstanden habe. Die Nachrichten seien anonymisiert worden. Die Praxis sei vor mehr als einer Woche gestoppt worden.

    Facebook und das Abhören
    In den vergangenen Wochen waren auch Amazon, Apple und Google in die Kritik geraten, weil sie Mitschnitte von Sprachassistenz-Software von Mitarbeitern auswerten ließen, ohne dass das den Nutzern bewusst war.

    Für Facebook ist die Situation noch etwas heikler: Seit Jahren geht das Gerücht um, Apps des Online-Netzwerks hörten den Nutzern zu, um die Werbung zu personalisieren. Als angeblicher Beleg werden Fälle genannt, in denen Anzeigen zu einer vorherigen Unterhaltung passen. Facebook wies den Vorwurf stets zurück, auch Gründer und Chef Mark Zuckerberg verneinte dies im Frühjahr ausdrücklich bei einer Anhörung im US-Kongress und sprach von einer "Verschwörungstheorie".

    Facebook hatte damals auch erklärt, das Online-Netzwerk verarbeite Audio-Daten nur wenn ein Nutzer die Erlaubnis dazu erteilt habe. Während klar ist, dass für eine Transkriptions-Funktion Aufnahmen verarbeitet werden müssen, dürfte den Nutzern – ähnlich wie bei den anderen Tech-Konzernen – nicht bewusst sein, dass in einigen Fällen auch Menschen sie zu hören bekamen.

    Abhören beendet oder kontrollierbar
    Die Unternehmen holten sich bei den Nutzern pauschal die Erlaubnis, Daten zur Verbesserung des Dienstes zu nutzen. Dass dafür möglicherweise auch Sprachaufnahmen nicht nur von Software analysiert, sondern auch von Menschen gehört werden könnten, wurde dabei nicht ausdrücklich erwähnt. Bei Apple gab es zumindest einen Hinweis auf die Möglichkeit solcher Transkriptionen bei der Sprachassistentin Siri – in einem Sicherheitsdokument für Entwickler. Der Text war für gewöhnliche Nutzer jedoch schwer zu finden.

    Apple setzte die Auswertung der Mitschnitte aus und versprach, sich künftig die ausdrückliche Erlaubnis dafür zu holen. Auch Google stoppte die Praxis Anfang Juli. Amazon bietet Nutzern seit kurzem die Möglichkeit, der Auswertung von Mitschnitten durch Menschen zu verhindern.

    Bei Facebook hätten "hunderte" Beschäftigte bei externen Dienstleistern sich die Audioclips angehört, schreibt Bloomberg unter Berufung auf informierte Personen. Sie seien im Unklaren darüber gelassen worden, unter welchen Umständen die Aufnahmen gemacht wurden und für welchen Zweck sie sie abtippen, hieß es. Einige hätten Facebooks Umgang mit ihrer Arbeit für "unethisch" gehalten. Die abgehörten Unterhaltungen hätten zum Teil "vulgäre" Inhalte enthalten.

    Quelle: Auch Facebook ließ Mitarbeiter Sprachaufnahmen von Nutzern abtippen | heise online

  • Auch Facebook liess Sprachaufnahmen abtippen
    Facebook hat offenbar Sprachnachrichten seiner Nutzer von Menschen analysieren lassen – aus dem hauseigenen Messenger.

    von dpa 14.08.2019

    Facebook hat Mitarbeiter ausgewählte Aufnahmen von Nutzern aus seinem Chatdienst Messenger anhören und abtippen lassen.

    Betroffen gewesen seien Nutzer, welche die Transkriptionsfunktion für Sprachunterhaltungen eingeschaltet hätten, erklärte das Online-Netzwerk dem Finanzdienst Bloomberg. Aufgabe der Mitarbeiter sei es gewesen zu prüfen, ob die Software die gesprochenen Sätze korrekt verstanden habe. Die Nachrichten seien anonymisiert worden. Die Praxis sei vor mehr als einer Woche eingestellt worden.

    In den vergangenen Wochen waren auch Amazon, Apple, Microsoft und Google in die Kritik geraten, weil sie Mitschnitte von Sprachassistenz-Software von Mitarbeitern auswerten liessen, ohne dass es den Nutzern bekannt war.

    Für Facebook ist die Situation noch etwas brisanter: Seit Jahren geht das Gerücht um, Apps des Online-Netzwerks hörten den Nutzern zu, um die Werbung zu personalisieren. Als Beleg werden Fälle genannt, in denen Anzeigen zu einer vorherigen Unterhaltung passen. Facebook wies den Vorwurf stets zurück, auch Gründer und Chef Mark Zuckerberg verneinte dies im Frühjahr ausdrücklich bei einer Anhörung im US-Kongress und sprach von einer «Verschwörungstheorie».

    Facebook hatte damals auch erklärt, das Online-Netzwerk verarbeite Audiodaten nur, wenn ein Nutzer die Erlaubnis dazu erteilt habe. Während klar ist, dass für eine Transkriptionsfunktion Aufnahmen verarbeitet werden müssen, dürfte den Nutzern – ähnlich wie bei den anderen Tech-Konzernen – nicht bewusst sein, dass in einigen Fällen auch Menschen sie zu hören bekamen.

    Erlaubnis der Nutzer pauschal eingeholt

    Die Unternehmen holten sich bei den Nutzern pauschal die Erlaubnis, Daten zur Verbesserung des Dienstes zu nutzen. Dass dafür möglicherweise auch Sprachaufnahmen nicht nur von Software analysiert, sondern auch von Menschen gehört werden könnten, wurde dabei nicht ausdrücklich erwähnt. Bei Apple gab es zumindest einen Hinweis auf die Möglichkeit solcher Transkriptionen bei seiner Sprachassistentin Siri in einem Sicherheitsdokument für Entwickler. Der Text war für gewöhnliche Nutzer jedoch schwer zu finden.

    Apple setzte die Auswertung der Mitschnitte aus und versprach, sich künftig die ausdrückliche Erlaubnis dafür zu holen. Auch Google stoppte die Praxis Anfang Juli. Amazon bietet Nutzern seit Kurzem die Möglichkeit, der Auswertung von Mitschnitten durch Menschen zu verhindern.

    Bei Facebook hätten «Hunderte» Beschäftigte bei externen Dienstleistern sich die Audioclips angehört, schrieb Bloomberg unter Berufung auf informierte Personen. Sie seien im Unklaren darüber gelassen worden, unter welchen Umständen die Aufnahmen gemacht wurden und für welchen Zweck sie diese abtippen, hiess es. Die Unterhaltungen hätten zum Teil «vulgäre» Inhalte enthalten.


    Quelle: Auch Facebook liess Sprachaufnahmen abtippen

  • 5G und Sprachassistenten: Voss für "extreme Produkthaftung" gegen Abhören

    Axel Voss, CDU-Rechtsexperte im EU-Parlament, kann nicht verstehen, wieso Smartphones oder intelligente Lautsprecher auf dem Markt sind, die Nutzer belauschen.

    "Wollen wir weiter die digitale Kolonie anderer bleiben?" Diese Frage müsse sich Europa dringend stellen in einer zunehmend vernetzten Welt, betonte Axel Voss, rechtspolitischer Sprecher der Europäischen Volkspartei (EVP) im EU-Parlament, am Dienstag auf der Konferenz Public-IT-Security in Berlin. Denn eng verknüpft mit diesem Aspekt sei die Folgefrage: "Wie weit wollen wir uns eigentlich ausspähen lassen?"

    Ein Ausgleich zwischen Sicherheit und Datenschutz
    Mit Blick auf China und die USA hat Voss nach eigenen Angaben "überall das Gefühl" beschlichen, dass die Europäer "staatlich oder wirtschaftlich" ausspioniert werden. Die EU sollte daher mit dem digitalen Binnenmarkt einen dritten Weg kreieren, "wo wir permanent Balancen haben" etwa auch zwischen den oft konkurrierenden Gütern Sicherheit und Datenschutz. Den Wunsch von hiesigen Innenpolitikern, Sprachassistenten in digitale Wanzen für den Staat umzuwandeln, thematisierte der Volksvertreter nicht.

    Mit Blick auf die laufende Debatte über den Einbau von Technik des chinesischen Ausrüsters Huawei in 5G-Netzwerke zeigte sich der einstige Verhandlungsführer der Abgeordneten bei der umstrittenen Urheberrechtsreform verwundert, wieso immer noch Smartphones auf dem Markt seien, "die uns irgendwie abhören können". Politik und Wirtschaft hätten es bisher nicht geschafft, entsprechende Beschattungselemente völlig zu eliminieren. Dies gelte auch für smarte Lautsprecher mit Sprachassistenten, über die Hersteller zuhause Gespräche mitschneiden könnten.

    Wenn sich Huawei oder andere Firmen aus der Infrastruktur für die digitale Gesellschaft nicht ausgrenzen lassen, scheint es Voss zweifelhaft, ob die EU dann noch einen vernünftigen Kontrollprozess über die Technik einrichten und steuern könne. Damit werde es schwierig, Hintertüren von vornherein auszuschließen. "Müssen wir langfristig nicht selber produzieren aus Sicherheitsaspekten?", fragte der Jurist weiter in die Runde. Gelte es nicht, das eigene Schicksal selbst in die Hand zu nehmen? Dafür sei es jedenfalls nötig, viel Geld bereitzustellen, die Forschung zu intensivieren und Firmen aufzubauen.

    Produkthaftung gegen Überwachung
    Fest steht für den CDU-Politiker: "Es braucht eine extreme Produkthaftung, wenn dann doch abgehört wird." Alle Firmen müssten wohl auch verpflichtet werden, eine eigene Cybersicherheitsstrategie nachzuweisen. Vor allem bei Militärinfrastrukturen führe vermutlich auch kein Weg daran vorbei, eigene Netze zu errichten. Auch ein "Identifizierungsmanagement im Internet" könnte trotz der damit verknüpften Fragen rund um die Anonymität von Nutzern helfen, "dass wir uns besser durchlavieren in der virtuellen Welt". Letztlich gehe es bei dem gesamten Komplex "ums Überleben Europas".

    Die Sicherheitsdiskussion über 5G werde oft "verkürzt auf chinesische Hersteller", gab derweil Wilhelm Eschweiler, Vizepräsident der Bundesnetzagentur, zu bedenken. Es gelte hier insgesamt dafür zu sorgen, dass etwa Persönlichkeitsrechte gewahrt blieben und der Einfluss auf kritische Infrastrukturen durch fremde Staaten verhindert werde. Ein Ausschluss einzelner Unternehmen vom Netzausbau sei hierzulande aber nicht vorgesehen. Das Telekommunikationsgesetz (TKG) biete dafür auch keine Rechtsgrundlage.

    Die Regulierungsbehörde stellt derzeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesdatenschutzbehörde einen neuen Katalog der Sicherheitsanforderungen für Netzbetreiber und Ausrüster zusammen. Man werde diesen binnen weniger Wochen präsentieren, führte Eschweiler aus. Durchblicken ließ er, dass eine No-Spy-Erklärung von Herstellern vorliegen müsse. Zudem werde es eine Zertifizierung der kritischen Komponenten und eine Abnahmeprüfung bei Netz- und Systembestandteilen geben. Monokulturen müssten generell vermieden werden, um nicht abhängig zu sein von einem einzigen Produzenten.

    Für neue mit 5G verknüpfte Techniken wie Network-Slicing setze die 3GPP auch auf etwa von der IETF bereits standardisierte Schnittstellen, versicherte Georg Mayer, Vorsitzender des Normierungsgremiums 3GPP. Die damit ermöglichte Virtualisierung durch Cluster erfolge ähnlich wie Linux. So werde es machbar, Kunden ein eigenes Netz mit bestimmten Parametern zur Verfügung zu stellen. Dieser kriege die Ressourcen dann, wenn er sie wirklich brauche. Sonst würden diese "für andere genutzt". Dazu komme eine Zertifizierung in Kooperation mit dem globalen Mobilfunkverband GSMA.

    Quelle: 5G und Sprachassistenten: Voss für "extreme Produkthaftung" gegen Abhören | heise online

  • Google ändert Richtlinien zum Mithören des Assistenten

    Alle Einstellungen zum Mithören von Googles Sprachassistenten sollen künftig opt-in sein. Insgesamt will der Konzern weniger Daten speichern.

    Nach den Vorwürfen, Google habe verschleiert, dass Sprachaufnahmen über seine Assistenten gespeichert und von Menschen ausgewertet wurden, ändert das Unternehmen die Richtlinien. Künftig sollen alle Einstellungen zur Speicherung und Verarbeitung der Daten opt-in sein. Nutzer müssen also beim Einrichten des Geräts die Voice & Audio Activity (VAA) auswählen und aktivieren. Dass Menschen teilweise mithören, wird dann explizit genannt.

    Da die Transkriptionen von Sprachaufnahmen derzeit eh ausgesetzt werden, folgt die Einführung der neuen Richtlinien laut eines Google-Blogeintrags bis Ende des Jahres. Google hat ein Datenschutzverfahren wegen der Mitschriften am Hals. Ein Hamburger Datenschutzbeauftragter hat das Verwaltungsverfahren eingeleitet, der Konzern zeigte sich daraufhin einsichtig und stoppte das Vorgehen zunächst für mindestens drei Monate – sogar weltweit.

    Weniger aus Versehen
    Zudem arbeitet Google daran, dass der Weckruf "Hey Google" besser erkannt wird. Versehentliche Aufzeichnungen sollen dadurch minimiert werden. Nutzer können künftig selbst auswählen, wie sensibel ihre Geräte reagieren. Sobald der Assistent merkt, dass er unbeabsichtigt aktiviert wurde, wird die Weiterleitung für die menschliche Auswertung gestoppt – sofern sie überhaupt eingeschaltet ist.

    Mit den Maßnahmen will Google laut eigener Aussage erreichen, insgesamt weniger Daten zu speichern. Der Konzern betont aber auch, die VAA-Nutzung helfe, die Technologie zu verbessern. Assistenten lernten dadurch die Stimmen des Anwenders aber auch Dialekte und Sprachen besser kennen. Die Daten würden niemals mit einem Account verknüpft. In dem Blogbeitrag steht auch, es werde zusätzliche Sicherheitseinstellungen wie Privatsphäre-Filter geben. Konkreter sind diese aber nicht beschrieben.

    Sprachassistenten stehen grundsätzlich unter Verdacht, unseren Datenschutz auszuhöhlen. Nicht nur Google hat mitgehört und Transkripte von Mitarbeitern anfertigen lassen. Alexa, Google Assistant, Siri und Bixby unterscheiden sich aber zuweilen im Alltag.

    Quelle: Google ändert Richtlinien zum Mithören des Assistenten | heise online

  • Datenschutz 01.10.2019, 08:27 Uhr
    Amazon verteidigt Auswertung von Alexa-Mitschnitten
    Datenschutz per Opt-out: Nutzer von Amazons Sprachassistent Alexa müssen der Auswertung von Audio-Mitschnitten durch Mitarbeiter aktiv widersprechen, der US-Anbieter verteidigt nun diese Praxis.

    Amazon verteidigt die umstrittene Praxis, einige Mitschnitte von Unterhaltungen mit seiner Sprachassistentin Alexa auch von Menschen auswerten zu lassen. "Wir sind sehr überzeugt, dass der Service besser wird, wenn die Kunden es uns erlauben, die Daten für seine Verbesserung zu nutzen", sagte Amazons Geräte- und Dienstechef Dave Limp der dpa am Montag am Rande der Gründermesse "Bits & Pretzels" in München. So werde die Erkennung der neuen Alexa-Sprache Hindi binnen drei Monaten um 35 Prozent verbessert.

    Amazon und andere Anbieter von Sprachassistenten wie Apple und Google waren in den vergangenen Monaten massiv dafür kritisiert worden, dass die Mitschnitte auch von Mitarbeitern analysiert wurden, ohne dass das den Nutzern bewusst war. Apple und Google kündigten an, künftig zuvor die Zustimmung dafür einzuholen, ein sogenanntes Opt-in.

    Amazon hingegen entschied sich für ein Opt-out, bei dem die Nutzer einer Verwendung ihrer Mitschnitte zwar widersprechen können, sie aber standardmässig vorausgesetzt wird. Amazon sehe darin die bessere Lösung für die Nutzer, betonte Limp. Es könne natürlich sein, dass die Konkurrenten weiter beim maschinellen Lernen seien als Amazon - was er sehr bezweifele -, "oder ihre Dienste werden sich nicht so schnell verbessern".

    Amazon räumt Fehler ein

    Limp räumte auf der "Bits & Pretzels" ein, dass es ein Fehler gewesen sei, die Nutzer nicht ausdrücklich darauf hinzuweisen, dass einige Alexa-Mitschnitte von Mitarbeitern ausgewertet werden. Den weitaus meisten Nutzern wurde das erst nach einem Bericht des Finanzdienstes Bloomberg im Frühjahr bewusst, es folgte Kritik. "Wenn man mich an dem Tag gefragt hätte, wäre ich wahrscheinlich überrascht, weil es mir und meinem Team erschien, als wüssten das alle", sagte Limp jetzt. "Aber das zeigt nur, dass wir in dieser Frage zu nahe an der Industrie dran waren und nicht nah genug an den Kunden."

    Zugleich seien die Reaktionen in den Medien stärker gewesen als bei den Nutzern: "Die Kunden haben nicht aufgehört, Alexa zu nutzen." Bei Mitarbeitern landeten auch nur rund 0,1 Prozent der Interaktionen mit der Sprachassistentin, betonte er. "Ich hoffe, dass wir eines Tages keine Beteiligung von Menschen brauchen werden" - noch sei das aber notwendig.

    Amazon stellte vergangene Woche eine Reihe neuer Geräte vor. Darunter sind auch für Amazon neue Produktkategorien, die Alexa helfen könnten, sich auch ausserhalb eines Haushalts im Alltag der Nutzer zu verankern - kabellose Ohrhörer sowie eine Brille und ein Ring mit Mikrofonen. Amazon setzt stark auf das sogenannte "Ambient Computing" - die Vision, dass Computer-Technik einen Nutzer permanent umgibt.

    Mit den Ohrhörern Echo Buds können die Nutzer zum Beispiel in den zu Amazon gehörenden "Whole Foods"-Lebensmittelmärkten Alexa fragen, in welchem Gang sich ein Produkt befindet. Alexa ist ausserhalb des Hauses aber im Nachteil gegenüber Apples Siri und dem Google Assistant, weil die konkurrierenden Sprachassistenten direkt in Smartphone-Systeme integriert sind. Im Fall der Amazon-Ohrhörer muss auf dem iPhone - und auch vielen Android-Telefonen - dafür die Alexa-App laufen.

    "In einer perfekten Welt würde man auf den Echo Buds auch Siri und Google ansprechen können", sagte Limp. Apple und Google seien noch nicht bei dieser Sicht der Dinge angekommen - "aber ich hoffe, dass sich die Industrie mit der Zeit in diese Richtung bewegen wird". Limp bekräftigte, dass Amazon nach dem Misserfolg mit dem kurzlebigen Fire Phone keine Pläne für eine Rückkehr in den Smartphone-Markt habe. Das käme erst in Frage, wenn man eine klare Vorstellung hätte, wie sich Amazon von anderen Playern abheben könne.

    "Unser Ziel is es, Alexa und ihre Smarthome-Fähigkeiten auf alle Geräte zu bringen, die es gibt", betonte Limp. Amazon sei trotz der Vorstellung vieler eigener Geräte genauso auf Partnerschaften mit anderen Herstellern fokussiert wie bisher.

    Digitale Assistenten als Gesprächspartner

    Amazon arbeitet auch daran, Alexa für längere Gespräche mit Nutzern fit zu machen. "In fünf bis zehn Jahren werden Sprachassistenten mehr Unterhaltungen führen", sagte Limp. Aktuell seien die Interaktionen noch eher auf einzelne Aufgaben fokussiert. Auch hier gebe es ein Spannungsfeld zwischen Datenfreigabe und Qualität der Dienste: "Wenn man jeden Tag die Daten löschen würde, wäre der Service nicht so gut."

    Autor(in)
    dpa


    Quelle: Amazon verteidigt Auswertung von Alexa-Mitschnitten - onlinepc.ch

  • Forscher: So lauschen Alexa und Google Assistant heimlich mit

    Berliner Forscher konnten Alexa/Echo und Google Assistant/Google Home zu heimlich mithörenden Wanzen umwandeln. Update!

    Forscher der Berliner Security Research Labs (SRLabs) zeigen mit Hilfe selbst entwickelter Apps, wie Fremde mit Amazon Alexa/Echo oder Google Assistant/Google Home deren Benutzer heimlich abhören können. Luise Frerichs und Fabian Bräunlein (beide von SRLabs) haben hierzu Skills für Alexa und Actions für Google Assistant programmiert, die ihre Funktionen zum heimlichen Lauschen hinter anderen Funktionen verbergen. Sowohl Amazon als auch Google akzeptierten die Skills beziehungsweise Actions. Das berichtet Spiegel Online.

    Der Alexa-Skill gibt sich als Horoskop-App aus. Alexa fragt nach dem Sternzeichen des Zuhörers und liest dann dessen Horoskop vor. Sobald der Nutzer "Alexa, Stopp" sagt, beendet Alexa das Zuhören. Eigentlich, in der ursprünglich zur Abnahme durch Amazon eingereichten Version. Doch nachdem der Skill einmal von Amazon akzeptiert war, konnten die beiden Forscher den Code so ändern, dass Alexa auch nach dem „Alexa, Stopp“ weiterlauscht. Obwohl Alexa den Stopp-Befehl mit „Goodbye“ quittiert. Alexa hörte in diesem Fall also weiter heimlich alles mit, was die Benutzer sagten. Und zwar dann, wenn die Nutzer einen Begriff wie „ich“ sagen, den die Forscher als neuen Weckruf für Alexa festlegten. Die Liste dieser heimlichen Weckrufe ist beliebig lang, die Forscher konnten offensichtlich jedes beliebige Wort festlegen, um Alexa wieder zum Zuhören zu bringen. Und das alles, ohne dass der Nutzer davon weiß.

    Für Google Assistant wiederum programmierten die beiden Berliner Sicherheitsexperten einen Zufallszahlengenerator, der von Google zugelassen wurde und dessen Code sie dann ebenfalls nachträglich änderten. Auch Google bekam von der nachträglichen Funktionsänderung nichts mit. Auch in diesem Fall tat der Google Assistant so, als ob er sich abschalten würde, sobald er die Zufallszahl ermittelt und ausgegeben hat. Doch stattdessen hörte Google Assistant weiter zu. Die Forscher erreichten das, indem sie im Code für Google Assistant Unicode-Zeichen hinterlegten, die man nicht aussprechen kann. Google Assistant blieb deshalb stumm und wartete aber auf einen weiteren Sprachbefehl des Nutzers. Sagt der Nutzer dann tatsächlich etwas, zeichnet der angebliche Zufallszahlengenerator das Gesagte auf und schickt es an den Server der Berliner Forscher.

    Noch fieser: Frerichs und Bräunlein entwickelten sogar Skills beziehungsweise Actions, die die Nutzer nach ihren Passwörtern fragen. Auch in diesem Fall reichten die Forscher zunächst Apps mit harmlosen Code ein, den sie dann nach der Abnahme durch Amazon und Google änderten. Die App behauptete, dass es ein wichtiges Sicherheits-Update geben würde und man für dessen Installation „Start" und danach das Passwort sagen solle.

    Der Erfolg derartiger Angriffe wird aber durch einige Faktoren eingeschränkt: Die Angreifer können ihre manipulierten Skills nur zur Installation anbieten, aber niemandem aufzwingen und sich ihre Opfer auch nicht gezielt aussuchen. Zudem können die Angreifer nicht die Kontroll-LEDs an Echo oder Google Home abschalten, die das Mithören optisch anzeigen. Und natürlich müssen die Belauschten sich in der Reichweite der Smart Speaker befinden. Im Fall des Passwort-Diebstahls kommt noch hinzu, dass der Angreifer erst einmal Nutzer finden muss, die tatsächlich ihr Alexa- oder Google-Assistant-Passwort nach Aufforderung laut sagen.

    Sowohl Amazon als auch Google versichern, dass sie Schutzmaßnahmen ergriffen hätten, um diese Art von Angriffen künftig erkennen und verhindern zu können. Update 11:15 Uhr: Stellungnahme von Amazon: "Das Vertrauen unserer Kunden ist uns wichtig und wir führen Sicherheitsüberprüfungen im Rahmen der Skill-Zertifizierung durch. Wir haben den betreffenden Skill umgehend blockiert und Schutzmaßnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. Skills werden abgelehnt oder entfernt, sobald ein solches Verhalten identifiziert wird."

    Nutzer, die derartige Angriffsszenarien verhindern wollen, sollten sich genau über den Anbieter von Skills/Actions informieren und im Zweifelsfalls auf deren Installation besser verzichten. Vor allem sollten Sie immer auf die Kontroll-LEDs an den Speakern achten! Und sie sollten eines wissen: Weder Amazon noch Google fragen über ihre smarten Lautsprecher nach dem Passwort.

    In diesen Videos demonstrieren die Berliner Forscher ihre Attacken:

    Angeblicher Horoskop-Skill für Alexa

    Angeblicher Zufallszahlengenerator für Google Assistant

    Passwort-Phishing

    Hier erklären die Forscher ausführliche ihre Angriffsmethoden.


    Quelle: Forscher: So lauschen Alexa und Google Assistant heimlich mit - PC-WELT

  • Siri speichert verschlüsselte E-Mails im Klartext auf Macs

    Selbst wenn Siri abgeschaltet ist, speichert das Assistenzsystem verschlüsselte E-Mails aus Apple Mail in einer eigenen Datenbank auf Macs – im Klartext.

    Um Vorschläge unterbreiten zu können, sichert Apples Assistenzsystem Siri die E-Mails aus der Apple-Mail-App in einer eigenen Datenbank. In dieser "snippets.db" landen allerdings auch per S/MIME verschlüsselte E-Mails in unverschlüsselter Form, wie ein IT-Spezialist bemerkte. Selbst wenn man Siri auf dem Mac deaktiviert, würden weiterhin verschlüsselte E-Mails der Datenbank im Klartext hinzugefügt.

    Verschlüsselte E-Mails landen im Klartext in Siri-Datenbank
    Das sei ein offensichtliches Problem für Behörden, Firmen und Privatpersonen, die verschlüsselte E-Mails zur Kommunikation einsetzen und darauf bauen, dass diese Daten vertraulich sind, führt der für die US-Behörde NIST tätige IT-Spezialist Bob Gendler aus.

    Kopien von Mails lassen sich über die Siri-Datenbank ohne den zur S/MIME-Entschlüsselung erforderlichen privaten Schlüssel einsehen. Das Problem bestehe mindestens in macOS 10.12 bis hin zur aktuellen Version 10.15 Catalina. In einer weiteren Datenbank entities.db speichere Siri außerdem Namen, E-Mail-Adressen und Telefonnummern von Personen, mit denen man korrespondiert habe.

    Siri nutzt die Datenbanken, um dem Nutzer Vorschläge zu unterbreiten, etwa zur Aktualisierung von Kontaktdaten, in E-Mails gefundenen Terminen oder um unbekannten Rufnummern einen Namen zuzuordnen. Diese spezielle Routine lässt sich den Systemeinstellungen für Siri unter "Siri-Vorschläge & Datenschutz" deaktivieren, wenn man "Von dieser App lernen" für Apple Mail abschaltet. Gendler hat zudem ein Konfigurationsprofil veröffentlicht, mit dem Administratoren die Siri-Einstellung für alle Nutzer eines Macs abschalten können.

    Das Abschalten verhindert allerdings nur, dass neue verschlüsselte E-Mails im Klartext in der Datenbank landen, merkt Gendler an. Bereits dort gespeicherte entschlüsselte Mails bleiben aber erhalten, entsprechend müsse man bei Bedarf auch die Datenbank snippets.db löschen.

    Apple wurde Ende Juli informiert
    Siris Vorschlagsdatenbanken seien zwar durch macOS-Sicherheitsmechanismen wie System Integrity Protection (SIP) geschützt und sollen von Backups ausgeklammert werden, doch können alle Apps, denen Festplattenvollzugriff bewilligt wurde, darauf zugreifen.

    Auch über ein AppleScript sei das Auslesen aus dem Finder möglich, wenn der Nutzer dazu gebracht wird, das zuzulassen. Das dürfte in Anbetracht der vielen Erlaubnisdialoge in macOS Catalina nicht allzu schwer sein, merkt Gendler an. Als Schutz ist zudem empfehlenswert, Apples Festplattenverschlüsselung FileVault zu aktivieren, auf neueren Macs mit T2-Chip ist die Festplatte respektive SSD automatisch verschlüsselt.

    Der IT-Spezialist hat Apple Ende Juli über die Schwachstelle in Kenntnis gesetzt, ein Fix ist bislang nicht erfolgt. Der Enterprise-Support des Konzerns habe ihm lediglich nach knapp 100 Tagen mitgeteilt, er könne die Indexierung der E-Mails durch Siri in den Einstellungen abschalten.

    Quelle: Siri speichert verschlüsselte E-Mails im Klartext auf Macs | heise online

  • Alexa & Co.: Technische Hilfe gegen unerwünschtes Mithören

    Forscher der TU Darmstadt haben mit internationalen Partnern ein Gerät entwickelt, das Sprachassistenten überführt, die unerwartet Konversation mitschneiden.

    Immer mehr Geräte im Smart Home sowie Smartphones und andere Wearables sind mit Diensten für das Erkennen und Auswerten menschlicher Sprache ausgerüstet. Intelligente Lautsprecher, smarte Fernseher, Thermostate, Sicherheitssysteme und Türklingeln haben Mikrofone für ständig mitlauschende Sprachassistenten an Bord, was den Datenschutz aushöhlen kann. Dass diese unerwünscht Gespräche mitschneiden, soll eine technische Lösung verhindern, die ein Team von Cybersicherheitsforschern der TU Darmstadt mitentwickelt hat.

    Sprachassistenten lassen sich von Nutzern in der Regel mit einem Weckwort aktivieren, bei Amazons Echo-Lautsprecher kommt dafür üblicherweise der Satzanfang "Alexa, …" mit einem gewünschten Befehl zum Einsatz. Die Gruppe von Wissenschaftlern, der auch Partner der TU von der französischen Universität Paris-Saclay und der North Carolina State University in den USA angehören, führte nun umfangreiche Experimente mit Amazon Echo (Alexa), Google Home (Assistant), Apple Home Pod (Siri) und dem Audio-Einbruchsschutzsystem Hive Hub 360 durch.

    Ungewollt geweckte Assistenten
    Dabei entdeckten die Forscher laut ihrem Bericht, den sie jüngst auf dem Preprint-Server Arxiv.org publiziert haben, zahlreiche englische Begriffe, die die Assistenten fälschlicherweise als Weckworte interpretierten. Bei Alexa machten sie 89 solcher Ausdrücke aus, zu denen etwa "Letter" oder "Mixer" gehörten. Der Dienst reagierte darauf auch unabhängig davon, ob sie von einer künstlich erzeugten Roboter-Stimme oder einem Menschen gesprochen wurden. Die ungewollt aufgezeichneten Audio-Daten werden dann in die Cloud hochgeladen und von Amazon analysiert.

    Die Analyse zeigte auch, dass die untersuchten Assistenzgeräte im normalen Standby-Betrieb in der Regel nicht viel Datenverkehr senden. Daher ist es möglich, Audioübertragungen anhand der von ihnen verursachten Zunahme der Transferrate zu erkennen. Der entwickelte Ansatz passt den Wissenschaftlern zufolge auf alle technischen Helfer, die Audio senden. Man habe sich aber auf die vier Gerätetypen beschränkt, da sie weit verbreitet seien und ein großes Spektrum von Anwendungsfällen abdeckten.

    Überwachung via Netzwerkverkehr
    Um eine plötzliche Zunahme an Datenverkehr messen und einschlägige Parameter bestimmen zu können, überwachte das Team den Traffic der Geräte und wie dieser auf Gesprächsproben reagierte, die in die Umgebung der Mikrofone ausgesendet wurden. Üblicherweise geht die Rate dabei auch wieder zurück, wenn keine Stimmen mehr zu hören sind. So ließ sich der Verkehr in einzelne Zeitfenster unterteilen.

    Auf Basis dieser Erkenntnisse bauten die Forscher ein Gerät zur "Spionageabwehr" und tauften es "LeakyPick". Es lässt sich laut dem Artikel in der Wohnung eines Benutzers platzieren und testet dann in regelmäßigen Abständen die anderen Sprachassistenten in seiner Umgebung mit Audio-Befehlen. Der nachfolgende Netzwerkverkehr wird auf die ausgemachten statistischen Muster hin überwacht, die auf eine Audioübertragung hinweisen. LeakyPick weist dann auf Geräte hin, die unerwartet aktiv geworden sind.

    "Noch nicht im Handel erhältlich"
    Die Kontrolleinheit existiert derzeit als Prototyp und ist laut der TU Darmstadt "noch nicht im Handel erhältlich". Sie basiert auf einem Raspberry Pi 3B und soll eine Messgenauigkeit von 94 Prozent beim Erkennen von Audioübertragungen durch bis zu acht Geräten mit Sprachassistenten erreichen.

    LeakyPick könnte auch gegen raffinierte akustische Man-in-the-middle-Angriffe auf Alexa & Co. helfen, schreiben die Experten. Dabei werden Weckwörter und Befehle in dem für Menschen nicht hörbaren, von dem Assistenten aber erfassten Ultraschall-Bereich gesendet und so etwa Bestellungen bei Amazon getätigt. Wenn das den Datenverkehr überwachende Gerät eine Aktivität feststellt, obwohl kein hörbarer Befehl erfolgt ist, könnte das auf eine solche Attacke hindeuten.

    Quelle: Alexa & Co.: Technische Hilfe gegen unerwünschtes Mithören | heise online