Neue Schadsoftware macht aus Smart-Speakern Abhörgeräte

Neue Schadsoftware macht aus Smart-Speakern Abhörgeräte
Bild 1 von 27

Neue Schadsoftware macht aus Smart-Speakern Abhörgeräte

© Amazon

Kritiker prangern smarte Lautsprecher schon seit ihrem Erscheinen als Spionagegeräte an – und Forscher aus Berlin haben jetzt gezeigt, dass aus der Sorge Realität werden kann.

Kein leichter Stand für Amazon & Co.

Sowohl Google als auch Amazon und Apple wurden im Spätsommer 2019 mit Kritik überhäuft, nachdem bekannt wurde, dass Menschen Gespräche der Nutzer von Echo, Home und Homepod auswerten. Technisch gesehen ist dagegen nichts einzuwenden: Die Analysten haben untersucht, welche Anweisungen das System verstehen konnte und welche nicht. Ziel der Untersuchungen war es, die Qualität der Sprachassistenten zu verbessern.

Ethisch betrachtet saßen die Unternehmen nun jedoch auf einem Pulverfass, denn die Nutzer der Software wurden in keinem Fall gefragt, ob die Hersteller die Informationen aus Gesprächen überhaupt mitschneiden, anhören und auswerten dürfen. Verwenden Sie also beispielsweise Alexa im Schlafzimmer, kann es sein, dass Amazon-Mitarbeiter Gespräche in diesem Raum mitgehört und analysiert haben.

Dass diese Schlacht für die Unternehmen nicht zu gewinnen war, stand natürlich schnell fest. So bieten alle drei genannten Hersteller inzwischen Opt-Out-Verfahren an, sodass man sich mit wenigen Mausklicks aus der Auswertung raushalten kann. Alles gut - oder?

Deutsche Forscher schlagen Alarm

Das Security Research Lab in Berlin hat es nun jedoch geschafft, mit manipulierten Skills (das sind in etwa Software-Befehle für Smart-Speaker) nachträglich Spionage-Software einzuschleusen. Wenn Sie also denken, dass Sie sich ein harmloses Horoskop mit einem neuen Skill anhören, wird in Wirklichkeit Software im Hintergrund ausführt, die etwa das Mikrofon aktiviert und eingegebene Sprachbefehle überträgt - an einen beliebigen Server.

Dazu haben die Forscher gleich zwei Methoden entwickelt, um diese Ziele zu erreichen:

Fake-Update durch Phishing

In der ersten Methode wird beispielsweise die genannte Horoskop-App gestartet. Der Lautsprecher sagt dann, dass die App in der jeweiligen Region nicht verfügbar ist - was nicht selten vorkommt und daher keinen Anwender überraschen sollte. Die App verhält sich dann für eine Weile still, bevor ein angebliches Sicherheits-Update für den Smart-Speaker angesagt wird.

Der Nutzer wird nun gebeten, dass Wort "Update" zu nennen und danach sein Passwort einzusprechen. Spätestens hier wird jeder fachkundige Nutzer, der etwas von IT-Sicherheit versteht, nicht mehr weiter mit der App interagieren - aber auf diese Menschen zielen Apps dieser Art natürlich auch nicht ab. Nach Ansage des Passworts wird der Begriff dann an den Betreiber der Schadsoftware gesendet, der damit anschließend freies Spiel hat.

Stopp - oder?

Eine weitere Methode haben die Berliner Forscher ebenfalls anhand einer beispielhaften App gezeigt. Nehmen wir an, Sie wollen sich das Wetter für die kommenden Tage ansagen lassen. Sie haben die Informationen bekommen, die Sie hören wollten, und sagen jetzt: "Stopp." Damit wird die Wiedergabe jeder App eigentlich unterbrochen, doch in diesem Fall wurde das Stopp-Wort durch andere Befehle im Hintergrund ersetzt.

In die App eingeschmuggelt wurde eine Befehlskette, die erst durch die Nennung des fraglichen Begriffs - in diesem Fall "Stopp" - ausgelöst wird. Diese Befehle könnten etwa veranlassen, dass die Mikrofone nun eingeschaltet und alle Spracheingaben an einen beliebigen Server gesendet werden. Diese Falle können selbst IT-nahe Personen nicht so einfach erkennen, da keine weiteren Ausgaben durch den Lautsprecher erfolgen.

Was kann ich tun?

Das Beispiel zeigt, dass ohne Installation der entsprechenden App erst einmal gar nichts möglich ist. Antworten Sie auch niemals auf verdächtige Anfragen in Bezug auf Passwörter, Kontodaten, E-Mail-Adressen, PINs oder ähnliche Informationen. Im Grunde genommen unterscheidet sich die Sicherheit bei der Nutzung von smarten Lautsprechern nicht grundlegend von den Tipps, die für Smartphones, Notebooks & Co. gelten.

Aber auch die Hersteller befinden sich in der Verantwortung, denn besondere Sicherheitsfeatures mussten die Forscher aus Berlin nicht aushebeln. Es reicht die Installation einer manipulierten App. Unerfahrene Nutzer werden vor allem die zweite Methode niemals als Sicherheitsrisiko identifizieren. Hier sollten Google, Amazon, Apple und alle anderen Hersteller nachbessern und Apps und Skills intern besser prüfen oder bei verdächtigem Verhalten zumindest den Anwender sofort informieren - doch wann und ob dies geschehen wird, steht bislang nicht fest.

Quelle: In Zusammenarbeit mit PC-Welt
Top-Themen
Tausende Nutzer haben am Sonntagmittag von Störungen beim Chatdienst Whatsapp berichtet. Allein auf der Internetseite ...mehr
Prinz Harry und Herzogin Meghan kehren dem britischen Königshaus den Rücken - und das Netz amüsiert sich darüber ...mehr
Eine Plattform wie Facebook - aber ohne Werbung. Das war der Plan von Wikipedia-Gründer Jimmy Wales. Nach keinen drei ...mehr
Anzeige