Forscher legen Schwachstellen bei Amazon und Google offen: So einfach geht Lauschen bei Alexa & Co.

•Forscher tricksen Amazon und Google aus
•Private Nutzergespräche werden aufgezeichnet
•Die smarten Lautsprecher müssen in Punkto Sicherheit aufgerüstet werden

Berliner Forscher durchwandern Google & Amazon

Wie die Forscher Luise Frerichs und Fabian Bräunlein des Berliner Security Research Labs (SRLabs) laut einem Bericht des Spiegels herausfanden, können Benutzer über smarte Lautsprecher von Google und Amazon abgehört werden. Speziell geht es dabei um Amazon Echo und Google Home. Beim bekannten Sprachassistenten Alexa können bestimmte Skills von den Nutzern ausgesucht werden, beim Google Assistant wählt der Kunde beliebig sogenannte Actions. Hier konnten für die Freigabe von Apps Sicherheitslücken nachgewiesen werden.

Über die Skills und Actions, die über die offiziellen App-Stores gedownloadet werden können, gelang es den SRLabs-Forschern, Programme zum Abhören der Lautsprecherbesitzer auf den Geräten zu installieren und dabei die Sicherheitsvorkehrungen von Amazon und Google zu umgehen.

Nach dem "Goodbye" hören die Applikationen die Nutzer ab

Über getarnte harmlose Apps, die von den beiden Unternehmen freigeschaltet wurden, gelangte das Forscherteam in das System. Die Applikationen wurden zunächst normal genutzt und auch in den Standby-Modus versetzt beziehungsweise nur zum Schein ausgeschaltet. Die Apps fielen dementsprechend nicht im Sicherheitssystem auf und konnten hinterher von SRLabs in einen permanenten Onlinemodus versetzt werden, der es den Forschern erlaubte, auch nach dem offiziellen Goodbye Statement den Nutzern zuzuhören. Alle Privatgespräche, die nicht für die Ohren der Hersteller gedacht waren, da die Lautsprecher ja vermeintlich ausgeschaltet waren, konnten von SRLabs mitgehört werden. Da gezielt Privatgespräche erfasst werden sollten, programmierten Bräunlein und Frerichs für Alexa im Hintergrund die Skills so, dass die Gesprächsaufzeichnung immer bei dem Wort "Ich" begann. Bei den eingeschleusten Skills handelte es sich beispielsweise um Horoskopdienste. Beim Google Assistant wurde eine Action in Form eines Zufallsgenerators installiert, der einem ähnlichen Prinzip wie bei Alexa folgt und nur scheinbar inaktiv ist.

Die Forschungsgruppe gelangte über eine Phishing-Methode sogar an die Passwörter der Lautsprecherinhaber. Auf jede Anfrage des Nutzers folgte eine Fehlermeldung. Nach mehreren Versuchen und dem Hinweis, dass die Funktion momentan nicht verfügbar wäre, wurden die Nutzer aufgefordert, Start zu sagen und ihr Passwort zu nennen. Den Kunden wurde also suggeriert, dass Amazon oder Google direkt das Passwort anforderten. Die Forscher weisen Nutzen dringend darauf hin, bei Passwortaufforderungen aufzuhorchen, gerade wenn diese laut und deutlich genannte werden sollen.

Während der Testphase sind allerdings so gut wie keine Nutzer zu Schaden gekommen, gerade deshalb, weil die App eine bestimmte Funktion nicht austricksen konnte. Beim Aufnehmen eines Gespräches leuchten LED-Lichter auf. War ein Nutzer aufmerksam, bemerkte er dies sofort.

Google & Amazon werden mit den Ergebnissen konfrontiert

Das tragende Ergebnis der Forschung war der Fokus auf die Schwachstellen der Firmen Amazon und Google bei ihren Sicherheitsvorkehrungen im Freigabeprozess. Updates von Apps werden anhand der Ergebnisse nicht noch einmal durchleuchtet, dies erfolgt nur bei der allerersten Aufnahme der Apps in den Store. Wird das Programm danach nocheinmal verändert, wird dies nicht noch einmal überprüft durch das Unternehmen. Die Skills und Actions bei Apps, die dem Beispiel der Forscher gleichen, werden deshalb nicht entdeckt.

Nachdem Amazon und Google mit den Informationen konfrontiert wurden, mobilisierten sie ihre IT-Teams und berichteten: "Wir haben Schutzmaßnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. Skills werden abgelehnt und verhindert, sobald ein solches Verhalten identifiziert wird." Google entfernte zwischenzeitlich die Forscher-App aus seinem Store.

Redaktion finanzen.net