Smarte Lautsprecher: Belauschen mit Alexa- und Google-Home-Apps

Mit verschiedenen Tricks ist es Sicherheitsforschern gelungen, Apps für Google Assistant und Amazons Alexa zu erzeugen, die Nutzer belauschen oder Phishingangriffe durchführen. Die Apps haben den Review-Prozess von Google und Amazon überstanden.

Artikel veröffentlicht am ,
Ein Spion im Alexa-Speaker? Wie man Personen mit einer App überwacht, zeigen Forscher der Firma SRLabs.
Ein Spion im Alexa-Speaker? Wie man Personen mit einer App überwacht, zeigen Forscher der Firma SRLabs. (Bild: SRLabs)

Forscher der Berliner Firma Security Research Labs haben anhand mehrerer Beispiele gezeigt, wie sich Apps auf smarten Lautsprechern mit Google Assistant oder Alexa von Amazon missbrauchen lassen. Die Angriffsbeispiele wurden in den offiziellen App-Stores von Google und Amazon akzeptiert. Bei Alexa heißen die Apps eigentlich Skills und Google nennt sie Actions.

In einem Beispiel erzeugten die Forscher eine App, die eine Fehlermeldung ausgibt, wenn ein Nutzer versucht, die App zu aktivieren. Sie wartet dann einige Zeit und gibt später eine scheinbare Systemmeldung aus, die den Nutzer darüber informiert, dass ein Update anstehe und er dazu sein Passwort angeben solle.

Unhörbares Zeichen ermöglicht Dauerbetrieb der App

Damit dies funktioniert, musste die App eine Zeit lang ruhig sein und trotzdem weiterlaufen. Das ist eigentlich nicht vorgesehen, mit einem Trick funktioniert es aber: Ein spezielles Unicode-Zeichen führt dazu, dass der Lautsprecher denkt, es sei etwas gesagt worden, das Zeichen führt aber zu keiner tatsächlichen Aussprache. Somit kann man den Lautsprecher eine Zeit lang schweigen lassen, ohne dass die App unterbrochen wird. Dieser Trick funktionierte mit beiden Plattformen.

In einem anderen Beispiel erzeugten die Forscher eine App, die sich durch einen Stopp-Befehl des Nutzers nur scheinbar selbst beendet, aber im Hintergrund weiterläuft. Die Forscher konnten dem Befehl eine neue Funktion zuordnen - und das, nachdem die App bereits im App Store akzeptiert war. So denkt der Nutzer, dass er die App beendet habe, in Wirklichkeit läuft sie aber weiter und kann ihn belauschen.

In Demovideos ist aber zumindest auf den Alexa-Geräten in beiden Fällen anhand des leuchtenden Signalrings deutlich zu sehen, dass der Lautsprecher weiterhin lauscht. Das ist möglicherweise beim gezeigten Home Mini ebenfalls der Fall, aber das Leuchtsignal ist längst nicht so auffällig wie bei den Echo-Geräten von Amazon.

Google und Amazon haben die bösartigen Apps von Security Research Labs inzwischen entfernt und wollen ihren App-Review-Prozess verbessern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Googles Hardware-Chef
Osterloh weist Besuch auf smarte Lautsprecher hin
artikel-bild
Google
Home-Mini-Nachfolger heißt Nest Mini und kostet 60 Euro
artikel-bild
Einrichtungskonzern
Ikea startet eigenen Geschäftsbereich für Smart Home
Meistgelesen
artikel-bild
Angeblicher ARD-Plan
Rundfunkbeitrag könnte auf über 25 Euro steigen
artikel-bild
25 Jahre Starcraft
Der E-Sport-Dauerbrenner
artikel-bild
Elektrifizierung von Kommunalfahrzeugen
Radnabenantrieb von Schaeffler serienreif
Kommentarübersicht
Re: Wie kommt der skill auf die Alexa?
Micha_T 28. Okt 2019

Der witz ist halt das es tausende apps gibt die eben genau das machen. Mic daten...

Re: Ausspionieren?
Niriel 22. Okt 2019

Hallo zusammen, ich habe mich mit der Skillprogrammierung nur rudimentär auseinander...

Hm, wie geht es bei Google Home?
StefanGrossmann 21. Okt 2019

Direkte Apps oder Skills lassen sich dort ja nicht installieren. Es können zwar Scripts...

Bin froh das es solche Sicherheitsforscher gibt
Hotohori 21. Okt 2019

Ohne diese würde so etwas erst ans Licht kommen, wenn bereits ein Schaden entstanden ist...

Aktuell auf der Startseite von Golem.de
25 Jahre Starcraft
Der E-Sport-Dauerbrenner

Vor 25 Jahren erschien mit Starcraft eines der wichtigsten und wegweisendsten Echtzeitstrategiespiele aller Zeiten. Macht der RTS-Hit von Blizzard auch heute noch Spaß?
Von Andreas Altenheimer

25 Jahre Starcraft: Der E-Sport-Dauerbrenner
Artikel
  1. Angeblicher ARD-Plan: Rundfunkbeitrag könnte auf über 25 Euro steigen
    Angeblicher ARD-Plan
    Rundfunkbeitrag könnte auf über 25 Euro steigen

    Laut einem Bericht wollen die öffentlich-rechtlichen Sender eine Anhebung des Rundfunkbeitrags auf bis zu 25,19 Euro pro Monat fordern.

  2. 5.000 Fahrzeuge pro Woche: Tesla steigert Giga-Berlin-Produktion und lockt mit Rabatten
    5.000 Fahrzeuge pro Woche
    Tesla steigert Giga-Berlin-Produktion und lockt mit Rabatten

    Tesla hat Ende März 2023 einen wöchentlichen Ausstoß von 5.000 Fahrzeugen erreicht. Derweil sollen Sonderrabatte Kunden locken.

  3. Smart-Home-Anwendung: MQTT unter Java nutzen
    Smart-Home-Anwendung
    MQTT unter Java nutzen

    Wer Daten von Sensoren oder ähnlichen Quellen von A nach B senden möchte, kann das Protokoll MQTT verwenden, dank entsprechender Bibliotheken auch einfach unter Java.
    Eine Anleitung von Florian Bottke

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MediaMarkt-Osterangebote • 3 Spiele kaufen, 2 zahlen • Cyberport Jubiläums-Deals • Alternate: Corsair Vengeance 32 GB DDR-6000 116,89€ u. 64 GB DDR-5600 165,89€ • MindStar: AMD Ryzen 7 5800X 209€ • MSI Optix 30" WFHD/200 Hz 289€ • WD_BLACK SN850 2 TB 189€ • NBB Black Weeks [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /