Smarte Lautsprecher: Belauschen mit Alexa- und Google-Home-Apps

Mit verschiedenen Tricks ist es Sicherheitsforschern gelungen, Apps für Google Assistant und Amazons Alexa zu erzeugen, die Nutzer belauschen oder Phishingangriffe durchführen. Die Apps haben den Review-Prozess von Google und Amazon überstanden.

Artikel veröffentlicht am ,
Ein Spion im Alexa-Speaker? Wie man Personen mit einer App überwacht, zeigen Forscher der Firma SRLabs.
Ein Spion im Alexa-Speaker? Wie man Personen mit einer App überwacht, zeigen Forscher der Firma SRLabs. (Bild: SRLabs)

Forscher der Berliner Firma Security Research Labs haben anhand mehrerer Beispiele gezeigt, wie sich Apps auf smarten Lautsprechern mit Google Assistant oder Alexa von Amazon missbrauchen lassen. Die Angriffsbeispiele wurden in den offiziellen App-Stores von Google und Amazon akzeptiert. Bei Alexa heißen die Apps eigentlich Skills und Google nennt sie Actions.

Stellenmarkt
  1. Senior Software-Entwickler_in (w/m/d)
    Technische Universität Darmstadt, Darmstadt
  2. Fachinformatiker (m/w/d)
    Linimed Gruppe GmbH, Jena
Detailsuche

In einem Beispiel erzeugten die Forscher eine App, die eine Fehlermeldung ausgibt, wenn ein Nutzer versucht, die App zu aktivieren. Sie wartet dann einige Zeit und gibt später eine scheinbare Systemmeldung aus, die den Nutzer darüber informiert, dass ein Update anstehe und er dazu sein Passwort angeben solle.

Unhörbares Zeichen ermöglicht Dauerbetrieb der App

Damit dies funktioniert, musste die App eine Zeit lang ruhig sein und trotzdem weiterlaufen. Das ist eigentlich nicht vorgesehen, mit einem Trick funktioniert es aber: Ein spezielles Unicode-Zeichen führt dazu, dass der Lautsprecher denkt, es sei etwas gesagt worden, das Zeichen führt aber zu keiner tatsächlichen Aussprache. Somit kann man den Lautsprecher eine Zeit lang schweigen lassen, ohne dass die App unterbrochen wird. Dieser Trick funktionierte mit beiden Plattformen.

In einem anderen Beispiel erzeugten die Forscher eine App, die sich durch einen Stopp-Befehl des Nutzers nur scheinbar selbst beendet, aber im Hintergrund weiterläuft. Die Forscher konnten dem Befehl eine neue Funktion zuordnen - und das, nachdem die App bereits im App Store akzeptiert war. So denkt der Nutzer, dass er die App beendet habe, in Wirklichkeit läuft sie aber weiter und kann ihn belauschen.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

In Demovideos ist aber zumindest auf den Alexa-Geräten in beiden Fällen anhand des leuchtenden Signalrings deutlich zu sehen, dass der Lautsprecher weiterhin lauscht. Das ist möglicherweise beim gezeigten Home Mini ebenfalls der Fall, aber das Leuchtsignal ist längst nicht so auffällig wie bei den Echo-Geräten von Amazon.

Google und Amazon haben die bösartigen Apps von Security Research Labs inzwischen entfernt und wollen ihren App-Review-Prozess verbessern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Neues Betriebssystem von Microsoft
Wir probieren Windows 11 aus

Windows 11 ist bereits im Umlauf. Wir haben die Vorabversion ausprobiert und ein schickes OS durchstöbert. Im Kern ist es aber Windows 10.
Ein Hands-on von Oliver Nickel

Neues Betriebssystem von Microsoft: Wir probieren Windows 11 aus
Artikel
  1. Kleinserie geplant: BMW iNext soll ein Brennstoffzellen-Auto werden
    Kleinserie geplant
    BMW iNext soll ein Brennstoffzellen-Auto werden

    Auf Basis des BMW X5 entwickelt BMW den i Hydrogen Next. Das Auto enthält eine Brennstoffzelle.

  2. Bundestagswahl: Spitzenkandidaten wollen mehr Tempo beim Klimaschutz machen
    Bundestagswahl
    Spitzenkandidaten wollen mehr Tempo beim Klimaschutz machen

    Im Prinzip liegen die Parteien beim Klimaschutz nicht weit auseinander. Die Energiewirtschaft kündigt dafür schon einmal höhere Preise an.

  3. Niedrige Inzidenzen: Homeoffice-Pflicht soll am 30. Juni enden
    Niedrige Inzidenzen
    Homeoffice-Pflicht soll am 30. Juni enden

    Die allgemeine Pflicht zum Homeoffice soll Ende des Monats fallen. Coronatests sollen aber weiterhin in Betrieben angeboten werden.

Micha_T 28. Okt 2019

Der witz ist halt das es tausende apps gibt die eben genau das machen. Mic daten...

Niriel 22. Okt 2019

Hallo zusammen, ich habe mich mit der Skillprogrammierung nur rudimentär auseinander...

StefanGrossmann 21. Okt 2019

Direkte Apps oder Skills lassen sich dort ja nicht installieren. Es können zwar Scripts...

Hotohori 21. Okt 2019

Ohne diese würde so etwas erst ans Licht kommen, wenn bereits ein Schaden entstanden ist...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Saturn Super Sale (u. a. Samsung 65" QLED (2021) 1.294€) • MSI 27" FHD 144Hz 269€ • Razer Naga Pro Gaming-Maus 119,99€ • Apple iPad Pro 12,9" 256GB 909€ [Werbung]
    •  /