Smarte Lautsprecher: Belauschen mit Alexa- und Google-Home-Apps

Mit verschiedenen Tricks ist es Sicherheitsforschern gelungen, Apps für Google Assistant und Amazons Alexa zu erzeugen, die Nutzer belauschen oder Phishingangriffe durchführen. Die Apps haben den Review-Prozess von Google und Amazon überstanden.

Artikel veröffentlicht am ,
Ein Spion im Alexa-Speaker? Wie man Personen mit einer App überwacht, zeigen Forscher der Firma SRLabs.
Ein Spion im Alexa-Speaker? Wie man Personen mit einer App überwacht, zeigen Forscher der Firma SRLabs. (Bild: SRLabs)

Forscher der Berliner Firma Security Research Labs haben anhand mehrerer Beispiele gezeigt, wie sich Apps auf smarten Lautsprechern mit Google Assistant oder Alexa von Amazon missbrauchen lassen. Die Angriffsbeispiele wurden in den offiziellen App-Stores von Google und Amazon akzeptiert. Bei Alexa heißen die Apps eigentlich Skills und Google nennt sie Actions.

In einem Beispiel erzeugten die Forscher eine App, die eine Fehlermeldung ausgibt, wenn ein Nutzer versucht, die App zu aktivieren. Sie wartet dann einige Zeit und gibt später eine scheinbare Systemmeldung aus, die den Nutzer darüber informiert, dass ein Update anstehe und er dazu sein Passwort angeben solle.

Unhörbares Zeichen ermöglicht Dauerbetrieb der App

Damit dies funktioniert, musste die App eine Zeit lang ruhig sein und trotzdem weiterlaufen. Das ist eigentlich nicht vorgesehen, mit einem Trick funktioniert es aber: Ein spezielles Unicode-Zeichen führt dazu, dass der Lautsprecher denkt, es sei etwas gesagt worden, das Zeichen führt aber zu keiner tatsächlichen Aussprache. Somit kann man den Lautsprecher eine Zeit lang schweigen lassen, ohne dass die App unterbrochen wird. Dieser Trick funktionierte mit beiden Plattformen.

In einem anderen Beispiel erzeugten die Forscher eine App, die sich durch einen Stopp-Befehl des Nutzers nur scheinbar selbst beendet, aber im Hintergrund weiterläuft. Die Forscher konnten dem Befehl eine neue Funktion zuordnen - und das, nachdem die App bereits im App Store akzeptiert war. So denkt der Nutzer, dass er die App beendet habe, in Wirklichkeit läuft sie aber weiter und kann ihn belauschen.

In Demovideos ist aber zumindest auf den Alexa-Geräten in beiden Fällen anhand des leuchtenden Signalrings deutlich zu sehen, dass der Lautsprecher weiterhin lauscht. Das ist möglicherweise beim gezeigten Home Mini ebenfalls der Fall, aber das Leuchtsignal ist längst nicht so auffällig wie bei den Echo-Geräten von Amazon.

Google und Amazon haben die bösartigen Apps von Security Research Labs inzwischen entfernt und wollen ihren App-Review-Prozess verbessern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Micha_T 28. Okt 2019

Der witz ist halt das es tausende apps gibt die eben genau das machen. Mic daten...

Niriel 22. Okt 2019

Hallo zusammen, ich habe mich mit der Skillprogrammierung nur rudimentär auseinander...

StefanGrossmann 21. Okt 2019

Direkte Apps oder Skills lassen sich dort ja nicht installieren. Es können zwar Scripts...

Hotohori 21. Okt 2019

Ohne diese würde so etwas erst ans Licht kommen, wenn bereits ein Schaden entstanden ist...



Aktuell auf der Startseite von Golem.de
Updates für GPT-3 und GPT-4
GPT im Geschwindigkeitsrausch

OpenAIs Updates für GPT-4 und GPT-3 machen die Modelle zuverlässiger, vor allem aber anpassungsfähiger. Die Änderungen und neuen Features im Detail.
Von Fabian Deitelhoff

Updates für GPT-3 und GPT-4: GPT im Geschwindigkeitsrausch
Artikel
  1. Candy Crushed: Royal Match wird profitabelstes Mobile Game
    Candy Crushed
    Royal Match wird profitabelstes Mobile Game

    Die langanhaltende Dominanz von Candy Crush Saga ist vorbei. Das meiste Geld verdient jetzt ein Start-up aus Istanbul mit einem Puzzlespiel.

  2. Datenschutz: ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern
    Datenschutz
    ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern

    Eigentlich sollte der Chatbot auf diese Anfrage gar nicht antworten. Tut er es dennoch, lauern womöglich noch viel brisantere Informationen.

  3. Donald E. Knuth: 30 Jahre Weihnachtsvorlesungen frei verfügbar
    Donald E. Knuth
    30 Jahre Weihnachtsvorlesungen frei verfügbar

    Ein bisschen theoretische Informatik, Algorithmen oder Mathematik zu Weihnachten? Wer das mag, kann nun sogar alle Vorlesungen hintereinander ansehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • TeamGroup Cardea Graphene A440 2 TB mit zwei Kühlkörpern 112,89€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • AVM FRITZ!Repeater 3000 AX 129€ • Philips Ambilight 77OLED808 2.599€ • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
    •  /