• IT-Karriere:
  • Services:

Smarte Lautsprecher: Belauschen mit Alexa- und Google-Home-Apps

Mit verschiedenen Tricks ist es Sicherheitsforschern gelungen, Apps für Google Assistant und Amazons Alexa zu erzeugen, die Nutzer belauschen oder Phishingangriffe durchführen. Die Apps haben den Review-Prozess von Google und Amazon überstanden.

Artikel veröffentlicht am ,
Ein Spion im Alexa-Speaker? Wie man Personen mit einer App überwacht, zeigen Forscher der Firma SRLabs.
Ein Spion im Alexa-Speaker? Wie man Personen mit einer App überwacht, zeigen Forscher der Firma SRLabs. (Bild: SRLabs)

Forscher der Berliner Firma Security Research Labs haben anhand mehrerer Beispiele gezeigt, wie sich Apps auf smarten Lautsprechern mit Google Assistant oder Alexa von Amazon missbrauchen lassen. Die Angriffsbeispiele wurden in den offiziellen App-Stores von Google und Amazon akzeptiert. Bei Alexa heißen die Apps eigentlich Skills und Google nennt sie Actions.

Stellenmarkt
  1. Modis GmbH, Berlin
  2. über duerenhoff GmbH, München

In einem Beispiel erzeugten die Forscher eine App, die eine Fehlermeldung ausgibt, wenn ein Nutzer versucht, die App zu aktivieren. Sie wartet dann einige Zeit und gibt später eine scheinbare Systemmeldung aus, die den Nutzer darüber informiert, dass ein Update anstehe und er dazu sein Passwort angeben solle.

Unhörbares Zeichen ermöglicht Dauerbetrieb der App

Damit dies funktioniert, musste die App eine Zeit lang ruhig sein und trotzdem weiterlaufen. Das ist eigentlich nicht vorgesehen, mit einem Trick funktioniert es aber: Ein spezielles Unicode-Zeichen führt dazu, dass der Lautsprecher denkt, es sei etwas gesagt worden, das Zeichen führt aber zu keiner tatsächlichen Aussprache. Somit kann man den Lautsprecher eine Zeit lang schweigen lassen, ohne dass die App unterbrochen wird. Dieser Trick funktionierte mit beiden Plattformen.

In einem anderen Beispiel erzeugten die Forscher eine App, die sich durch einen Stopp-Befehl des Nutzers nur scheinbar selbst beendet, aber im Hintergrund weiterläuft. Die Forscher konnten dem Befehl eine neue Funktion zuordnen - und das, nachdem die App bereits im App Store akzeptiert war. So denkt der Nutzer, dass er die App beendet habe, in Wirklichkeit läuft sie aber weiter und kann ihn belauschen.

In Demovideos ist aber zumindest auf den Alexa-Geräten in beiden Fällen anhand des leuchtenden Signalrings deutlich zu sehen, dass der Lautsprecher weiterhin lauscht. Das ist möglicherweise beim gezeigten Home Mini ebenfalls der Fall, aber das Leuchtsignal ist längst nicht so auffällig wie bei den Echo-Geräten von Amazon.

Google und Amazon haben die bösartigen Apps von Security Research Labs inzwischen entfernt und wollen ihren App-Review-Prozess verbessern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 1,99€
  2. 2,44€
  3. (-78%) 7,99€
  4. 4,98€

Micha_T 28. Okt 2019 / Themenstart

Der witz ist halt das es tausende apps gibt die eben genau das machen. Mic daten...

Niriel 22. Okt 2019 / Themenstart

Hallo zusammen, ich habe mich mit der Skillprogrammierung nur rudimentär auseinander...

StefanGrossmann 21. Okt 2019 / Themenstart

Direkte Apps oder Skills lassen sich dort ja nicht installieren. Es können zwar Scripts...

Hotohori 21. Okt 2019 / Themenstart

Ohne diese würde so etwas erst ans Licht kommen, wenn bereits ein Schaden entstanden ist...

Kommentieren


Folgen Sie uns
       


Microsoft Surface Pro X - Hands on

Schon beim ersten Ausprobieren wird klar: Das Surface Pro X ist ein sehr gutes Beispiel für ARM-Geräte mit Windows 10. Viele Funktionen wirken durchdacht - die Preisvorstellung gehört nicht dazu.

Microsoft Surface Pro X - Hands on Video aufrufen
Confidential Computing: Vertrauen ist schlecht, Kontrolle besser
Confidential Computing
Vertrauen ist schlecht, Kontrolle besser

Die IT-Welt zieht in die Cloud und damit auf fremde Rechner. Beim Confidential Computing sollen Daten trotzdem während der Nutzung geschützt werden, und zwar durch die Hardware - keine gute Idee!
Ein IMHO von Sebastian Grüner

  1. Gaia-X Knoten in Altmaiers Cloud identifzieren sich eindeutig
  2. Gaia-X Altmaiers Cloud-Pläne bleiben weiter wolkig
  3. Cloud Ex-SAP-Chef McDermott will Servicenow stark expandieren

Neuer Streamingdienst von Disney: Disney+ ist stark bei Filmen und schwach bei Serien
Neuer Streamingdienst von Disney
Disney+ ist stark bei Filmen und schwach bei Serien

Das Hollywoodstudio Disney ist in den Markt für Videostreamingabos eingestiegen. In den USA hat es beim Start von Disney+ technische Probleme gegeben. Mit Blick auf inhaltliche Vielfalt kann der Dienst weder mit Netflix noch mit Amazon Prime Video mithalten.
Von Ingo Pakalski

  1. Disney+ Disney korrigiert falsches Seitenverhältnis bei den Simpsons
  2. Videostreaming im Abo Disney+ hat 10 Millionen Abonnenten
  3. Disney+ Disney bringt seinen Streaming-Dienst auf Fire-TV-Geräte

Google Stadia im Test: Stadia ist (noch) kein Spiele-PC- oder Konsolenkiller
Google Stadia im Test
Stadia ist (noch) kein Spiele-PC- oder Konsolenkiller

Tschüss, Downloads, Datenträger und Installationsroutinen: Mit Google Stadia können wir einfach losspielen. Beim Test hat das unter Echtweltbedingungen schon ziemlich gut geklappt - trotz der teils enormen Datenmengen und vielen fehlenden Funktionen.
Von Peter Steinlechner

  1. Google Stadia Assassin's Creed Odyssey bis Samurai Showdown zum Start
  2. Nest Wifi Googles Mesh-Router priorisiert Stadia
  3. Spielestreaming Google stiftet Verwirrung über Start von Stadia

    •  /