von Udo Lewalter
22.10.2019, 08:37 Uhr Smarte Lautsprecher spielen nicht nur Musik ab und lesen Texte vor, sie hören auch zu, um die Kommandos zu verstehen. Das birgt Gefahren!
Berliner Sicherheitsforscher haben nach einem Bericht des Nachrichtenmagazins „Der Spiegel“ Sicherheitslücken in dem Freigabeprozess von Apps für smarte Lautsprecher von Amazon und Google aufgedeckt. Die Forscher der Berliner Security Research Labs (SRLabs) verbreiteten über die offiziellen App-Stores für Amazon Echo und Google Home Apps, mit denen sich Nutzer eines Amazon Echo oder Google Home unbemerkt abhören ließen. Dabei sei es gelungen, die Sicherheitskontrollen von Amazon und Google zu überlisten.
Smarte Lautsprecher: Apps lauschten weiter
Die SRLabs-Forscher hatten zunächst harmlose Varianten der Apps, die bei Amazon „Skills“ heißen und bei Google „Actions“ oder „Aktionen“, bei den Unternehmen eingereicht und freischalten lassen. Die Anwendungen beantworteten Nutzeranfragen zum Beispiel nach einem Horoskop und täuschten anschließend ihre Inaktivität vor. Nach der ersten Sicherheitskontrolle hat man die Apps allerdings so verändert, dass sie nach einer „Goodbye“-Meldung weiterhin lauschten. Amazon und Google entdeckten die unerlaubten Funktionen der manipulierten App nicht.
Raffiniertes Passwort-Phishing
Die Forscher versuchten bei ihrem Experiment auch, an die Passwörter der Amazon- beziehungsweise Google-Nutzer zu kommen. Die manipulierten Apps reagierten dabei auf jede Frage der Anwender mit einer Fehlermeldung. Diese besagte, dass die entsprechende Funktion derzeit nicht verfügbar sei. Danach verwies man die Nutzer auf ein vermeintliches Sicherheits-Update: „Bitte sagen Sie Start, gefolgt von Ihrem Passwort“. Für unaufmerksame Anwender musste das klingen, als ob die Aufforderung nicht mehr von der App, sondern direkt von Amazon kommt. Die Forscher erklärten, Nutzer sollten immer misstrauisch sein, wenn man sie nach ihrem Passwort frage und man es laut sagen solle.
Ein Sicherheitsmerkmal unüberwindbar
In der Praxis richteten die Apps quasi keinen Schaden an, weil sie zunächst einmal unter den Tausenden von Skills und Aktionen gefunden und installiert werden mussten. Außerdem ließ sich von den Berliner Forschern ein wichtiges Sicherheitsmerkmal nicht außer Kraft setzen: Die smarten Lautsprecher zeigen mit leuchtenden Farbsignalen an, dass sie die Sprache aufzeichnen. Nutzer, die auf die LED-Signale achteten, bekamen also mit, dass die Sprachübertragung immer noch läuft.
Amazon und Google: Kritik an Freigabeprozess
Das Experiment legte gravierende Schwachstellen bei der Freigabe von App-Aktualisierungen bei Amazon und Google offen. Sie achteten nur bei der erstmaligen Aufnahme der Apps in den Store darauf, dass die „Skills“ oder „Aktionen“ nicht wie Abhörwanzen funktionieren. Bei den Updates hatte man die neu eingebauten Lecks nicht entdeckt.
Amazon und Google reagierten
Die SRLabs-Forscher informierten die Unternehmen über ihre Versuche, die daraufhin reagierten. „Wir haben Schutzmaßnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. Skills werden abgelehnt oder entfernt, sobald ein solches Verhalten identifiziert wird“, teilte Amazon dem „Spiegel“ mit. Eine Google-Sprecherin schrieb auf Anfrage: „Wir untersagen und entfernen jede Action, die gegen unsere Richtlinien verstößt.“ Die von den Forschern entwickelten Actions habe Google gelöscht. „Wir setzen zusätzliche Mechanismen ein, um derartiges in Zukunft zu unterbinden.“ (Mit Material der dpa.)
Quelle: Amazon Echo & Co.: Forscher decken Sicherheitslücken auf! - COMPUTER BILD