Smarte Lautsprecher: Belauschen mit Alexa- und Google-Home-Apps

Mit verschiedenen Tricks ist es Sicherheitsforschern gelungen, Apps für Google Assistant und Amazons Alexa zu erzeugen, die Nutzer belauschen oder Phishingangriffe durchführen. Die Apps haben den Review-Prozess von Google und Amazon überstanden.

Artikel veröffentlicht am ,
Ein Spion im Alexa-Speaker? Wie man Personen mit einer App überwacht, zeigen Forscher der Firma SRLabs.
Ein Spion im Alexa-Speaker? Wie man Personen mit einer App überwacht, zeigen Forscher der Firma SRLabs. (Bild: SRLabs)

Forscher der Berliner Firma Security Research Labs haben anhand mehrerer Beispiele gezeigt, wie sich Apps auf smarten Lautsprechern mit Google Assistant oder Alexa von Amazon missbrauchen lassen. Die Angriffsbeispiele wurden in den offiziellen App-Stores von Google und Amazon akzeptiert. Bei Alexa heißen die Apps eigentlich Skills und Google nennt sie Actions.

Stellenmarkt
  1. Senior Software / Data Base Engineer (m/w/d)
    Allianz Deutschland AG, Unterföhring
  2. Hauptsachbearbeiter*in (w/m/d) Krypto- / Sicherheitsmanagement
    Der Polizeipräsident in Berlin, Berlin
Detailsuche

In einem Beispiel erzeugten die Forscher eine App, die eine Fehlermeldung ausgibt, wenn ein Nutzer versucht, die App zu aktivieren. Sie wartet dann einige Zeit und gibt später eine scheinbare Systemmeldung aus, die den Nutzer darüber informiert, dass ein Update anstehe und er dazu sein Passwort angeben solle.

Unhörbares Zeichen ermöglicht Dauerbetrieb der App

Damit dies funktioniert, musste die App eine Zeit lang ruhig sein und trotzdem weiterlaufen. Das ist eigentlich nicht vorgesehen, mit einem Trick funktioniert es aber: Ein spezielles Unicode-Zeichen führt dazu, dass der Lautsprecher denkt, es sei etwas gesagt worden, das Zeichen führt aber zu keiner tatsächlichen Aussprache. Somit kann man den Lautsprecher eine Zeit lang schweigen lassen, ohne dass die App unterbrochen wird. Dieser Trick funktionierte mit beiden Plattformen.

In einem anderen Beispiel erzeugten die Forscher eine App, die sich durch einen Stopp-Befehl des Nutzers nur scheinbar selbst beendet, aber im Hintergrund weiterläuft. Die Forscher konnten dem Befehl eine neue Funktion zuordnen - und das, nachdem die App bereits im App Store akzeptiert war. So denkt der Nutzer, dass er die App beendet habe, in Wirklichkeit läuft sie aber weiter und kann ihn belauschen.

Golem Akademie
  1. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    20.–23. Dezember 2021, virtuell
  2. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
Weitere IT-Trainings

In Demovideos ist aber zumindest auf den Alexa-Geräten in beiden Fällen anhand des leuchtenden Signalrings deutlich zu sehen, dass der Lautsprecher weiterhin lauscht. Das ist möglicherweise beim gezeigten Home Mini ebenfalls der Fall, aber das Leuchtsignal ist längst nicht so auffällig wie bei den Echo-Geräten von Amazon.

Google und Amazon haben die bösartigen Apps von Security Research Labs inzwischen entfernt und wollen ihren App-Review-Prozess verbessern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Micha_T 28. Okt 2019

Der witz ist halt das es tausende apps gibt die eben genau das machen. Mic daten...

Niriel 22. Okt 2019

Hallo zusammen, ich habe mich mit der Skillprogrammierung nur rudimentär auseinander...

StefanGrossmann 21. Okt 2019

Direkte Apps oder Skills lassen sich dort ja nicht installieren. Es können zwar Scripts...

Hotohori 21. Okt 2019

Ohne diese würde so etwas erst ans Licht kommen, wenn bereits ein Schaden entstanden ist...



Aktuell auf der Startseite von Golem.de
Reddit
IT-Arbeiter automatisiert seinen Job angeblich vollständig

Ein anonymer IT-Spezialist will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
Artikel
  1. Urheberrecht: VPN-Anbieter blockiert Torrents und Pirate Bay nach Klage
    Urheberrecht
    VPN-Anbieter blockiert Torrents und Pirate Bay nach Klage

    Nach einer Klage mehrerer Filmstudios wird ein VPN-Anbieter Torrents sowie mehrere Torrent-Webseiten auf seinen US-Servern blockieren.

  2. Hybrid-Loks: Bahn will alte Diesellok-Antriebe im Güterverkehr verbannen
    Hybrid-Loks
    Bahn will alte Diesellok-Antriebe im Güterverkehr verbannen

    Auf der letzten Meile im Güterverkehr will die Deutsche Bahn auch auf Plugin-Hybrid-Loks setzen.

  3. Exynos 2200: Samsung-Chip mit Xclipse/RDNA2-Grafik ist da
    Exynos 2200
    Samsung-Chip mit Xclipse/RDNA2-Grafik ist da

    Erstmals Raytracing für Smartphones: Der Exynos 2200 nutzt Radeon-Technik samt ARMv9-Kernen, einem AV1-Decoder und schnellem 5G-Modem.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 Digital Edition inkl. 2 Dualsense • RTX 3080 12GB bei Mindfactory 1.699€ • Samsung Gaming-Monitore (u.a. G5 32" WQHD 144Hz Curved 299€) • MindStar (u.a. GTX 1660 6GB 499€) • Sony Fernseher & Kopfhörer zu Bestpreisen • Samsung Galaxy A52 128GB 299€ • Bosch Professional [Werbung]
    •  /