Die intelligenten Lautsprecher von Amazon und Google sind anfällig für Hacker
Während Amazon und Google verzweifelt versuchen, uns davon zu überzeugen, dass sie nicht auf alles hören, was wir sagen, haben Sicherheitsforscher gezeigt, wie einfach diese Geräte von Hackern infiltriert werden können, die Ihre Gespräche belauschen. Und auch – nur zum Kichern – Phishing für Ihre Passwörter.
Eine deutsche Forschungsgruppe Security Research Labs entdeckte eine Schwachstelle, die sie Smart Spies genannt haben. Durch verschiedene Tricks fügt es der Antwort von Alexa oder Google eine lange Pause hinzu, damit Sie glauben, dass es nicht mehr zuhört.
Es fordert Sie dann auf, während es Alexa oder Google nachahmt, Ihr Gerät zu aktualisieren und fragt nach persönlich identifizierbaren Informationen wie einem Passwort oder hört einfach weiter zu und zeichnet Ihre Gespräche auf, transkribiert, was Sie sagen, und sendet eine Abschrift an den Hacker.
Lesen Sie dies: Eintauchen in die neuen Datenschutz-Tools von Amazon
Laut einem Bericht von ArsTechnica greift die Schwachstelle ein, weil sowohl Amazon als auch Google Skills und Aktionen überprüfen, bevor sie den Plattformen hinzugefügt werden, Updates jedoch nicht überprüft werden, sodass eine scheinbar harmlose App abtrünnig werden kann, ohne dass jemand etwas davon mitbekommt .
Die Sicherheitsforscher entwickelten acht Apps – vier Alexa Skills und vier Google Home Actions – die genau das leisten konnten. Hauptsächlich einfache Horoskop-Apps hinter den Kulissen konnten sie abhören oder Nutzer davon überzeugen, Passwörter oder E-Mail-Adressen preiszugeben.
In einer E- Mail an Gizmodo teilte Security Research Labs mit, dass die Schwachstelle im Februar entdeckt wurde. „Wir waren überrascht zu sehen, dass die Smart Spies-Hacks mehr als drei Monate nach der Meldung der Probleme an Google und Amazon immer noch funktionierten“, schrieben sie.
Die Apps sind nicht mehr verfügbar, aber Sie können Demonstrationen ihrer Funktionsweise in YouTube-Videos sehen, die von den Forschern auf ihrer Blog-Seite gepostet wurden .
„Benutzer müssen sich des Potenzials bösartiger Sprach-Apps bewusster sein, die ihre intelligenten Lautsprecher missbrauchen“, schrieben sie in ihrem Blog. „Die Verwendung einer neuen Sprach-App sollte mit ähnlicher Vorsicht angegangen werden wie die Installation einer neuen App auf Ihrem Smartphone.“
Benutzer müssen sich des Potenzials bösartiger Sprach-Apps bewusster sein, die ihre intelligenten Lautsprecher missbrauchen
Security Research Labs teilte seine Ergebnisse mit den Unternehmen und hat empfohlen, dass sie gründlichere Überprüfungsprozesse für Fähigkeiten und Maßnahmen von Drittanbietern implementieren.
Amazon antwortet der Gruppe mit folgender Aussage:
„Das Vertrauen der Kunden ist uns wichtig, und wir führen Sicherheitsüberprüfungen als Teil des Skill-Zertifizierungsprozesses durch. Wir haben die fragliche Fertigkeit schnell blockiert und Maßnahmen ergriffen, um diese Art von Fertigkeitsverhalten zu verhindern und zu erkennen und sie abzulehnen oder zu entfernen, wenn sie identifiziert werden.“
Sie sagten auch, dass sie „Minderungen“ eingerichtet haben, um die angesprochenen Probleme zu verhindern, und wiesen darauf hin, dass Benutzer ihr Passwort niemals über Sprache mit Geräten teilen sollten, jede Anfrage nach solchen Informationen kommt nicht von Amazon.
Die Antwort von Google war ähnlich. „Alle Aktionen auf Google müssen unseren Richtlinien für Entwickler entsprechen, und wir verbieten und entfernen alle Aktionen, die gegen diese Richtlinien verstoßen. Wir haben Überprüfungsprozesse durchgeführt, um die in diesem Bericht beschriebenen Verhaltensweisen zu erkennen, und wir haben die von diesen Forschern gefundenen Aktionen entfernt. Wir richten zusätzliche Mechanismen ein, um zu verhindern, dass diese Probleme in Zukunft auftreten.“
Laut den Forschern gibt es kaum oder gar keine Beweise dafür, dass es derzeit solche Apps gibt, die Alexa- und Google Home-Benutzer bedrohen. Benutzer dieser Geräte müssen jedoch auf verdächtige Aktivitäten auf ihren intelligenten Lautsprechern achten.