In Verruf geraten sind Google Home, Amazon Echo und Apples Homepod schon in diesem Sommer, als ruchbar wurde, dass Menschen in Gesprächsfetzen reinhören, um zu erkennen, ob Siri oder Alexa korrekt aktiviert worden waren und ob die digitalen Assistenten korrekte Antworten gaben. Das ist aber weniger ein Problem, sondern eine Notwendigkeit zur Verbesserung des Services und wenn die Daten anonymisiert werden und in vertraulichen und sicheren Umgebungen behandelt, durchaus akzeptabel – solange man auch ein Opt-Out bekommt. Diesen gibt es inzwischen sowohl bei Amazons Echo, Googles Home und dem HomePod von Apple.
Was aber laut home&smart nun Berliner Forschern des Security Research Labs gelungen ist, sollte Nutzern der smarten Lautsprecher von Google und Amazon Sorgen bereiten. Denn mit manipulierten Skills, die sich als harmlose Horoskop-Anwendungen tarnten und durch die Freigabeprozesse der Anbieter kamen, konnte die Sicherheitsexperten nachträglich ändern und mit Funktionen ausstatten, die die Echo- und Google-Nutzer gezielt abhörten. Die Forscher fanden gleich zwei unterschiedliche Methoden, um den Nutzer um seine Privatssphäre zu bringen.
Passwort-Phishing durch Fake-Update
Diese Methode zielt darauf, den Nutzer dazu zu verleiten, sein Passwort preiszugeben. Startet er die Horoskop-Anwendung, verkündet der Speaker, dass die App in seiner Region nicht verfügbar sei. Danach wird eine Minute lang kein Sound mehr ausgegeben, der Nutzer soll annehmen, dass die App nicht länger aktiv ist. Nach der Minute wird eine Phishing-Nachricht wiedergeben, nämlich dass ein wichtiges Sicherheitsupdate für den Smart Speaker erforderlich sei.
Und um dieses zu starten, solle der Nutzer nicht nur das Stichwort Update nennen, sondern auch sein Passwort angeben. Das Misstrauen Fachkundiger wäre an dieser Stelle schon geweckt, denn kein Smart Speaker würden offen nach dem Passwort des hinterlegten Accounts fragen. Und natürlich wird mit der Nennung des Passworts kein Update gestartet, stattdessen wird die nächste Eingabe des Nutzers an den Betreiber der Fake-App gesendet. Doch weniger routinierte Nutzer sind für solche Phishing-Taktiken anfällig.
Lauschattacke: Stop heißt (nicht) Stop
Die zweite Methode zielt darauf ab, Konversationen des Nutzers abzuhören und an die “Hacker” zu verschicken. Dafür ersetzten die Forscher den Befehl “Stop”, der normalerweise das Ausführen einer Anwendung unterbricht, durch eine Befehlskette, die auf genau dieses Stichwort aktiviert wird. Lässt sich der Nutzer in der getarnten App sein Horoskop ansagen und unterbricht dann die Ansage mit dem Befehl, stoppt zwar die Wiedergabe, die Anwendung ist aber nicht wirklich unterbrochen. Stattdessen lauschen die Speaker weiter und übertragen sämtliche gesprochene Sprache transkribiert an die Server der App. Bei Amazons Echo müssen zumindest Schlüsselwörter definiert werden, nach deren Nennung alles nachfolgende an gesprochener Sprache aufgenommen wird. Das können die alltäglichsten Begriffe wie “du” oder “ich” sein, und laut HomeandSmart.de können bis zu 2.500 Begriffe gleichzeitig hinterlegt sein. Google Home ist noch schlechter geschützt, auch ohne Schlüsselwort lauscht der smarte Lautsprecher.
So können Sie sich schützen
Als Verbraucher können Sie sich nur zu ein gewissen Grad schützen. Seien Sie stets aufmerksam bei der Installation neuer Anwendungen, sowohl auf ihrem Smartphone, als auch auf anderen Geräten wie smarten Lautsprechern. Fallen Sie nicht auf Phishing-Angriffe herein, indem Sie immer im Hinterkopf behalten, dass Anbieter Sie niemals in E-Mails oder per Spracheingabe nach ihrem Passwort fragen werden. Das geben Sie nur auf der Website des Anbieters ein, und auch hier sollten Sie immer die URL auf Richtigkeit überprüfen.
Die größte Verantwortung liegt aber bei den Herstellern. Dass es so einfach ist, manipulierte Software durch die Sicherheitskontrollen von Amazon und Google zu bringen, ist besorgniserregend. Über ein einfaches, nachträgliches Update der Apps konnte die schädliche Software hinzugefügt werden, ohne dass die Anbieter eine erneute Kontrolle des Codes vornahmen. Google und Amazon müssen dringend die Sicherheitsstandards für Dienste auf ihren Geräten erhöhen, denn das nächste Mal ist es vielleicht kein Forschungsteam mehr, sondern echte Verbrecher die versuchen an die Daten der Nutzer zu kommen.