Lade Login-Box.
Topthemen: Ministerpräsidentenwahl ThüringenFreies Wort hilftFolgen Sie uns auf InstagramSport-Tabellen

Computer

Forscher hören Nutzer von smarten Lautsprechern ab

Smarte Lautsprecher können nicht nur Musik abspielen und Texte vorlesen, sie hören auch zu, um die Kommandos zu verstehen. Berliner Sicherheitsforscher haben nun Apps entwickelt, mit denen sie Nutzer auch jenseits der Kommandoeingabe unbemerkt abhören konnten.



Amazon Echo
Der smarte Lautsprecher Amazon Echo. Berliner Sicherheitsforschern gelang es, Apps zu verbreiten, mit denen sich Nutzer unbemerkt abhören ließen.   Foto: Britta Pedersen/dpa-Zentralbild/dpa

Berliner Sicherheitsforscher haben nach einem Bericht des Nachrichtenmagazins «Der Spiegel» Sicherheitslücken in dem Freigabeprozess von Apps für smarte Lautsprecher von Amazon und Google aufgedeckt.

Die Forscher der Berliner Security Research Labs (SRLabs) konnten über die offiziellen App-Stores für Amazon Echo und Google Home Apps verbreiten, mit denen sich Nutzer eines Amazon Echo oder Google Home unbemerkt abhören ließen. Dabei sei es gelungen, die Sicherheitskontrollen von Amazon und Google zu überlisten.

Die SRLabs-Forscher hatten zunächst harmlose Varianten der Apps, die bei Amazon «Skills» heißen und bei Google «Actions» oder «Aktionen», bei den Unternehmen eingereicht und freischalten lassen. Die Apps konnten Nutzeranfragen zum Beispiel nach einem Horoskop beantworten und täuschten anschließend ihre Inaktivität vor. Nach der ersten Sicherheitskontrolle wurden die Apps allerdings so verändert, dass sie nach einer «Goodbye»-Meldung weiterhin lauschten. Die unerlaubten Funktionen der manipulierten App wurden von Amazon und Google nicht entdeckt.

Die Forscher versuchten bei ihrem Experiment auch, an die Passwörter der Amazon- beziehungsweise Google-Nutzer zu kommen. Die manipulierten Apps reagierten dabei auf jede Frage der Nutzer mit einer Fehlermeldung. Diese besagte, dass die entsprechende Funktion derzeit nicht verfügbar sei. Danach wurden die Anwender auf ein vermeintliches Sicherheits-Update verwiesen: «Bitte sagen Sie 'Start', gefolgt von Ihrem Passwort». Für unaufmerksame Nutzer musste das klingen, als ob die Aufforderung nicht mehr von der App, sondern direkt von Amazon kommt. Die Forscher erklärten, Anwender sollten immer misstrauisch sein, wenn sie nach ihrem Passwort gefragt werden und es laut sagen sollen.

In der Praxis richteten die Apps quasi keinen Schaden an, weil sie zunächst einmal unter den Tausenden von Skills und Aktionen gefunden und installiert werden mussten. Außerdem konnten die Berliner Forscher ein wichtiges Sicherheitsmerkmal nicht außer Kraft setzen: Die smarten Lautsprecher zeigen mit leuchtenden Farbsignalen an, dass sie die Sprache aufzeichnen. Nutzer, die auf die LED-Signale achteten, bekamen also mit, dass die Sprachübertragung immer noch läuft.

Das Experiment legte gravierende Schwachstellen bei der Freigabe von App-Aktualisierungen bei Amazon und Google offen. Sie achteten nur bei der erstmaligen Aufnahme der Apps in den Store darauf, dass die «Skills» oder «Aktionen» nicht wie Abhörwanzen funktionieren. Bei den Updates wurden die neu eingebauten Lecks nicht entdeckt.

Die SRLabs-Forscher informierten die Unternehmen über ihre Versuche, die daraufhin reagierten. «Wir haben Schutzmaßnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. Skills werden abgelehnt oder entfernt, sobald ein solches Verhalten identifiziert wird», teilte Amazon dem «Spiegel» mit. Eine Google-Sprecherin schrieb auf Anfrage: «Wir untersagen und entfernen jede Action, die gegen unsere Richtlinien verstößt.» Die von den Forschern entwickelten Actions habe Google gelöscht. «Wir setzen zusätzliche Mechanismen ein, um derartiges in Zukunft zu unterbinden.»

Autor
dpa

dpa

Kontakt zum Autor

Autor zu »Meine Themen« hinzufügen

Veröffentlicht am:
21. 10. 2019
12:34 Uhr

Für »Meine Themen« verfügbare Schlagworte

zu Meine Themen hinzufügen

Hinzufügen

Schlagwort zu
Meine Themen

zu Meine Themen hinzufügen

Hinzufügen

Sie haben bereits von 15 Themen gewählt

Bearbeiten

Sie verfolgen dieses Thema bereits

Entfernen

Für die Nutzung von "Meine Themen" ist ihr Einverständnis zur Datenspeicherung nötig.

Weiter
Amazon Amazon Echo Der Spiegel Google Google Home Lautsprecher Passwörter Sicherheitslücken
Diesen Artikel teilen / ausdrucken


 
Mehr zum Thema
Google Home

01.08.2019

Google stoppt Auswertung von Sprachaufnahmen durch Menschen

Vielen Nutzern von Sprachassistenten war nicht bewusst, dass die Mitschnitte auch von Mitarbeitern der Anbieter abgetippt werden können, um den Dienst zu verbessern. Nach einem Eklat stoppte Google die Praxis in Europa, ... » mehr

Smartphone

29.11.2019

Forscher entdecken Sicherheitslücke im SMS-Nachfolger RCS

Berliner Sicherheitsforscher haben Schwachstellen im SMS-Nachfolgesystem RCS entdeckt, durch die unter bestimmten Umständen Smartphones attackiert werden können. » mehr

Sprachassistenten

13.12.2019

Wie die Sprachassistenten 2019 ihre Unschuld verloren

Die Erkenntnis, dass Mitschnitte von Gesprächen mit Assistenten wie Alexa und Siri auch von Mitarbeitern gehört werden können, löste 2019 viel Kritik aus. Anbieter fragen die Nutzer inzwischen um Erlaubnis. » mehr

Autovermietung Buchbinder

23.01.2020

Bei Autovermietung Buchbinder standen Kundendaten offen

Millionen von Kundendaten des Autovermieters Buchbinder standen frei verfügbar im Netz. Pikantes Detail: Auch Daten des Grünen-Chefs Robert Habeck und des Präsidenten des Bundesamts für Sicherheit in der Informationstech... » mehr

Technik-Messe CES - Bluetooth

10.01.2020

Bluetooth wird besser - und bleibt nicht besonders sicher

Mit dem Bluetooth-Funk kann man Sprache und Musik kabellos übertragen, Autos aus Metern entfernt aufschließen, Daten übertragen und viel mehr. Auf der Technikmesse CES wurden nun interessante Verbesserungen vorgestellt. » mehr

Apple-Sprachassistent

28.08.2019

Apple will sich Anhören von Siri-Aufnahmen erlauben lassen

Die Erkenntnis, dass Siri-Unterhaltungen auch von Menschen gehört werden können, hat Apple besonders unter Druck gesetzt - wirbt der iPhone-Konzern doch oft mit seinem Datenschutz-Versprechen. Jetzt gibt Apple den Nutzer... » mehr

Bildergalerie » zur Übersicht

Biathlon-WM Antholz Antholz

Biathlon-WM Antholz | 22.02.2020 Antholz
» 107 Bilder ansehen

Wasunger Karnevalsumzug Wasungen

Wasunger Karnevalsumzug | 22.02.2020 Wasungen
» 43 Bilder ansehen

Großbrand Wartburgkreis Hastrungsfeld

Großbrand Wartburgkreis | 20.02.2020 Hastrungsfeld
» 37 Bilder ansehen

Autor
dpa

dpa

Kontakt zum Autor

Autor zu »Meine Themen« hinzufügen

Veröffentlicht am:
21. 10. 2019
12:34 Uhr



^