Alexa- und Google-Home-Schwachstelle erlaubt Mithören und Phishing

Getarnt als unschuldiger Upload eines simplen Alexa Skills respektive einer Google Action, kann Malware lautlos Gespräche mitschneiden oder gar nach Passwörter fragen. Dies zeigten Sicherheitsforscher der SRLabs via Drittanbieter-Software auf. Die Demonstration sollte nicht nur ein Aufruf an Google und Amazon sein, ihre Third-Party-Anforderungen zu überarbeiten, sondern auch an die User, Drittanbieter-Software bei Nichtgebrauch wieder vom Gerät zu entfernen.

Aufgepasst bei Drittanbieter-Programmen

Es existieren noch keine Beweise, dass diese Schwachstelle bereits ausgenutzt worden ist. Die SRLabs-Forscher haben ihre Erkenntnisse Google und Amazon weitergeleitet, bevor sie damit an die Öffentlichkeit gegangen sind. Eine Anleitung, wie die Sicherheitslücke bei Google Home und Amazons Alexa ausgenutzt werden kann, haben die Security Research Labs auf ihrer Homepage publiziert.

Drittanbieter-Software wird sowohl bei Google als auch bei Amazon eingehend geprüft, bevor sie genehmigt wird und anschliessend auf den Smart Speakern zur Verfügung steht. ZDNet schreibt jedoch, dass die beiden Tech-Giganten Updates von genehmigter Drittanbieter-Software nicht prüfen. Deshalb gelang es den Sicherheitsforschern, bösartigen Code in ihre zuvor genehmigte Software zu schmuggeln, welche dann auf den Speaker jedes beliebigen Users gelangen kann.

Ein cleverer Trick macht’s möglich

In vier Videos erklärt das Team der SRLabs, wie die Hacks funktionieren. Beim einen Google-Hack läuft das Ganze über eine Google Action ab, die einen zufällige Zahl generiert. Die Aktion führt exakt diesen Befehl aus und gibt dem User eine Zufallszahl aus. Die Software hört dann aber weiter mit, auch wenn die ursprüngliche Befehlsfolge bereits abgeschlossen ist. Bei Alexa funktioniert der Trick mit einer Horoskop-App, die dir vorliest, was deinem Sternzeichen heute Gutes und Schlechtes bevorsteht. Diese Software kann den Stop-Befehl des Benutzers übergehen und lautlos mithören und -schreiben. Weitere Videos zeigen, wie mittels falscher Error-Messages nach dem Passwort des Users gefragt wird.

In allen vier Fällen gelang es dem SRLabs-Team, mitzuhören, obwohl ein Stop-Befehl gegeben wurde oder die Aktion eigentlich längst hätte beendet sein müssen. Das gelang, indem die Sicherheitsforscher die Sprachassistenten mit Zeichen gefüttert haben, welche diese nicht aussprechen konnten. Dies führt dazu, dass der Assistent nichts sagt – weil er ebenjene Spezialzeichen nicht aussprechen kann –, aber weiterhin zuhört. Davon merkt der User nichts, da kein Feedback vom Sprachassistenten kommt und der Befehl so abgeschlossen scheint. Alles, was der Nutzer von da an sagt, kann aufgezeichnet und direkt an einen Hacker weitergeleitet werden.

Eine «Never Ending»-Story

Laut Ars Technica hat Amazon bereits reagiert und neue Massnahmen eingeführt, die verhinden sollen, dass Drittanbieter-Skills zukünftig mithören oder gar nach Passwörtern fragen können. Sobald ein solches Verhalten bei einem Skill auftritt, wird er entfernt. Google meinte auf Anfrage von Ars Technica, dass es Review-Prozesse besitze, die ein solches Verhalten sofort aufdecken würden, und entfernte die von den SRLabs programmierten Actions umgehend. Ausserdem sei bei eine interne Review aller Third Party Actions im Gange, wobei gewisse Add-Ons bereits deaktiviert worden seien.

Es ist nichts Neues und auch nicht das erste Mal, dass Amazons Alexa oder Google Home Probleme mit Abhören oder Phishing haben. Das Besorgniserregende an dieser Geschichte ist jedoch die Tatsache, dass immer neue Schwachstellen auftauchen, obschon die Privatsphäre bei Smart Speakern seit jeher der grösste Streitpunkt ist. Wenn du bereits Zweifel an den Assistenten selbst hegst, dann solltest du von nicht vertrauenswürdigen Drittsoftware-Anbietern tunlichst die Finger lassen.

Mach es mit smarten Lautsprechern und Drittanbieter-Software wie mit Gästen in deinem Zuhause: Lass nur diejenigen rein, denen du vertraust. Und wenn du keine Smart-Speaker-, Smart-Home- oder andere Tech-News und -Trends mehr verpassen möchtest, dann folge mir mit einem Klick auf den «Folgen»-Button beim Autorenprofil.