Neue Schadsoftware macht aus Smart-Speakern Abhörgeräte
11.12.2019 - 06:12 Uhr
Kritiker prangern smarte Lautsprecher schon seit ihrem Erscheinen als Spionagegeräte an – und Forscher aus Berlin haben jetzt gezeigt, dass aus der Sorge Realität werden kann.
Kein leichter Stand für Amazon & Co.
Sowohl Google als auch Amazon und Apple wurden im Spätsommer 2019 mit Kritik überhäuft, nachdem bekannt wurde, dass Menschen Gespräche der Nutzer von Echo, Home und Homepod auswerten. Technisch gesehen ist dagegen nichts einzuwenden: Die Analysten haben untersucht, welche Anweisungen das System verstehen konnte und welche nicht. Ziel der Untersuchungen war es, die Qualität der Sprachassistenten zu verbessern.
Ethisch betrachtet saßen die Unternehmen nun jedoch auf einem Pulverfass, denn die Nutzer der Software wurden in keinem Fall gefragt, ob die Hersteller die Informationen aus Gesprächen überhaupt mitschneiden, anhören und auswerten dürfen. Verwenden Sie also beispielsweise Alexa im Schlafzimmer, kann es sein, dass Amazon-Mitarbeiter Gespräche in diesem Raum mitgehört und analysiert haben.
Dass diese Schlacht für die Unternehmen nicht zu gewinnen war, stand natürlich schnell fest. So bieten alle drei genannten Hersteller inzwischen Opt-Out-Verfahren an, sodass man sich mit wenigen Mausklicks aus der Auswertung raushalten kann. Alles gut - oder?
Deutsche Forscher schlagen Alarm
Das Security Research Lab in Berlin hat es nun jedoch geschafft, mit manipulierten Skills (das sind in etwa Software-Befehle für Smart-Speaker) nachträglich Spionage-Software einzuschleusen. Wenn Sie also denken, dass Sie sich ein harmloses Horoskop mit einem neuen Skill anhören, wird in Wirklichkeit Software im Hintergrund ausführt, die etwa das Mikrofon aktiviert und eingegebene Sprachbefehle überträgt - an einen beliebigen Server.
Empfohlener externer Inhalt:
Glomex GmbH
Wir benötigen Ihre Zustimmung, um den von unserer Redaktion eingebundenen Inhalt von Glomex GmbH anzuzeigen. Sie können diesen mit einem Klick anzeigen lassen und auch wieder deaktivieren.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unseren Datenschutzhinweisen.
Dazu haben die Forscher gleich zwei Methoden entwickelt, um diese Ziele zu erreichen:
Fake-Update durch Phishing
In der ersten Methode wird beispielsweise die genannte Horoskop-App gestartet. Der Lautsprecher sagt dann, dass die App in der jeweiligen Region nicht verfügbar ist - was nicht selten vorkommt und daher keinen Anwender überraschen sollte. Die App verhält sich dann für eine Weile still, bevor ein angebliches Sicherheits-Update für den Smart-Speaker angesagt wird.
Der Nutzer wird nun gebeten, dass Wort "Update" zu nennen und danach sein Passwort einzusprechen. Spätestens hier wird jeder fachkundige Nutzer, der etwas von IT-Sicherheit versteht, nicht mehr weiter mit der App interagieren - aber auf diese Menschen zielen Apps dieser Art natürlich auch nicht ab. Nach Ansage des Passworts wird der Begriff dann an den Betreiber der Schadsoftware gesendet, der damit anschließend freies Spiel hat.
Stopp - oder?
Eine weitere Methode haben die Berliner Forscher ebenfalls anhand einer beispielhaften App gezeigt. Nehmen wir an, Sie wollen sich das Wetter für die kommenden Tage ansagen lassen. Sie haben die Informationen bekommen, die Sie hören wollten, und sagen jetzt: "Stopp." Damit wird die Wiedergabe jeder App eigentlich unterbrochen, doch in diesem Fall wurde das Stopp-Wort durch andere Befehle im Hintergrund ersetzt.
In die App eingeschmuggelt wurde eine Befehlskette, die erst durch die Nennung des fraglichen Begriffs - in diesem Fall "Stopp" - ausgelöst wird. Diese Befehle könnten etwa veranlassen, dass die Mikrofone nun eingeschaltet und alle Spracheingaben an einen beliebigen Server gesendet werden. Diese Falle können selbst IT-nahe Personen nicht so einfach erkennen, da keine weiteren Ausgaben durch den Lautsprecher erfolgen.
Was kann ich tun?
Das Beispiel zeigt, dass ohne Installation der entsprechenden App erst einmal gar nichts möglich ist. Antworten Sie auch niemals auf verdächtige Anfragen in Bezug auf Passwörter, Kontodaten, E-Mail-Adressen, PINs oder ähnliche Informationen. Im Grunde genommen unterscheidet sich die Sicherheit bei der Nutzung von smarten Lautsprechern nicht grundlegend von den Tipps, die für Smartphones, Notebooks & Co. gelten.
Aber auch die Hersteller befinden sich in der Verantwortung, denn besondere Sicherheitsfeatures mussten die Forscher aus Berlin nicht aushebeln. Es reicht die Installation einer manipulierten App. Unerfahrene Nutzer werden vor allem die zweite Methode niemals als Sicherheitsrisiko identifizieren. Hier sollten Google, Amazon, Apple und alle anderen Hersteller nachbessern und Apps und Skills intern besser prüfen oder bei verdächtigem Verhalten zumindest den Anwender sofort informieren - doch wann und ob dies geschehen wird, steht bislang nicht fest.
