Digital Life 

Forscher verwanzen Amazon und Google – und offenbaren riesige Sicherheitslücken

Forscher offenbarten nun erneut erhebliche Sicherheitslücken bei den smarten Lautsprechern von Amazon und Google.
Forscher offenbarten nun erneut erhebliche Sicherheitslücken bei den smarten Lautsprechern von Amazon und Google.
Foto: iStock/ MangoStar_Studio
Berliner Sicherheitsforscher überlisteten innerhalb eines Experiments kürzlich die Kontrollen der smarten Lautsprecher Amazon Echo und Google Home und offenbarten erhebliche Sicherheitslücken.

Dass Konzerne wie Amazon und Google mithilfe der Sprachsteuerung der smarten Lautsprecher Nutzer belauschen, ist erstmal keine Neuigkeit. Doch wenn du dich von deinem Smart Speaker verabschiedest, hört auch keiner mehr zu, oder? Nun, Forscher der Berliner Security Research Labs (SR Labs) entwickelten im Rahmen eines Sicherheitsexperiments nun gezielt Anwendungen, die sie über die offiziellen App-Stores der SMart Speaker Amazon Echo und Google Home verbreiteten. Sie offenbarten erhebliche Sicherheitslücken, indem sie demonstrierten, wie leicht sich auch unscheinbare Dritt-Anwendungen in die Geräte einschleusen lassen – und dich auch nach der "Goodbye”-Meldung belauschen.

Smarte Sicherheitslücke: Amazon & Google werden verwanzt

Die Berliner Sicherheitsforscher Luise Frerichs und Fabian Bräunlein tricksten kürzlich die Sicherheitskontrollen der Tech-Riesen Amazon und Google aus und enthüllten in diesem Prozess erhebliche Sicherheitslücken in dem Freigabeprozess von Apps für smarte Lautsprecher wie Amazon Echo und Google Home. Spielend leicht lassen sich Nutzer abhören, sodass intimste Informationen, beispielsweise Passwörter, aufgedeckt werden können.

Ausgangspunkt des Experiments sind die externen Apps für die virtuellen Assistenten in den smarten Lautsprechern, also die sogenannten Skills für Alexa beziehungsweise die Actions für den Google Assistant. Die SR-Labs-Forscher schleusten die zunächst harmlose Varianten der entwickelten Apps bei den besagten Unternehmen ein und ließen diese freischalten. Die Apps beantworteten beispielsweise Nutzerfragen nach Horoskopen und täuschten im Anschluss ihre Inaktivität vor.

Nachdem sie eine erste verpflichtende Sicherheitskontrolle bestanden, veränderten die Forscher den Code der Apps im Hintergrund allerdings insoweit, dass diese nach einer "Goodbye”-Meldung weiterhin lauschten – eine weitere Überprüfung der manipulierten App habe durch Amazon oder Google jeweils nicht stattgefunden. Sagt der Nutzer nun etwas, so zeichnet die Anwendung dies auf und schickt es an den Server der Sicherheitsforscher.

Dieses Video zeigt das Experiment:

Video: Smart Spies

Angreifer könnten die Sicherheitslücken ausnutzen

Obgleich die Apps keinerlei Schaden anrichteten und weiterhin auch mithilfe der leuchtenden Farbsignale an den Geräten anzeigten, dass sie die Sprache aufzeichnen, deckte das Experiment gravierende Schwachstellen bei der Freigabe von App-Aktualisierungen bei Amazon und Google auf. Diese könnten Angreifer leicht ausnutzen.

Die SR-Labs-Forscher informierten die Unternehmen über die Sicherheitslücken, sodass die besagten Anwendungen mittlerweile gelöscht wurden – Amazon und Google wollen demnach in der Zukunft "Schutzmaßnahmen" ergreifen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern sowie "Anwendungen entfernen, die gegen ihre Richtlinien verstößen", berichtet ntv.

Allerdings sind Smarthome-Skandale fast schon an der Tagesordnung. So würde erst kürzlich bekannt, dass Amazon-Mitarbeiter mithilfe der Sicherheitskamera Cloud-Cam heimlich Nutzer in den intimsten Situationen beobachteten. Auch der Konzern Google nutzt seinen Sprachassistenten fleißig als Spion.

Zu den Kommentaren
Neueste Videos auf futurezone.de

Neueste Videos auf futurezone.de

Beschreibung anzeigen