Wer es gern bequem hat, hat sicher schon mit einem Echo-Lautsprecher geliebäugelt oder besitzt ihn sogar längst. Reizvoll ist Amazons Alexa zumindest für viele, weil sie durch einfache Ansagen diverse Aufgaben erledigt. Wissenschaftler fanden nun allerdings heraus, wie sie die digitale Assistentin austricksen können, so dass sie sich selbst Sprachbefehle erteilt. Angreifer können den Lautsprecher damit auf ganz neue Art einfach und unbemerkt fremdsteuern.

Amazon Alexa: Attacke verwendet Echos Fähigkeiten gegen den Lautsprecher

Forscher der Royal Holloway Universität von London (RHUL) haben mit einer neuen Form der Attacke, genannt „Alexa versus Alexa (AvA)“, nachgewiesen, dass Audiodateien, die Sprachbefehle enthalten, gepaart mit Methoden der Audio-Reproduktion die Kontrollübernahme von Amazons Echo erlauben.

„AvA nutzt den Fakt, dass Alexa auf Echo-Geräten Sprachbefehle, die von Audiodateien stammen, korrekt interpretiert, selbst wenn diese vom Gerät selbst abgespielt werden. Ergo entfernt AvA die Notwendigkeit eines betrügerischen Lautsprechers in der Nähe des Echos des Opfers.“

Der in Proceedings of the 2022 ACM Asia Conference on Computer and Communications Security (ASIA CCS ’22) veröffentlichten Studie zufolge können Angreifer durch auf diese Weise selbstausgelöste Sprachbefehle die „Echo-Lautsprecher aktivieren, ungewünschte Produkte kaufen, verknüpfte Kalender verändern und die Nutzer*innen aushorchen“.

So funktioniert der Angriff auf Amazons Alexa

Möglich sei dies im Detail, wenn ein kompatibles Gerät entsprechend manipulierte Dateien über sich selbst abspiele. Das geht beispielsweise, indem ein Opfer dazu gebracht wird, einen vom Angreifer dahingehend vorbereiteten Alexa Skill zu nutzen. Dieser könnte den Stream eines vermeintlichen Internetradios abspielen, das die schadhaften Audiodateien abspielt.

Gefährlich ist das besonders deshalb, weil jeder ganz eigene Alexa Skills programmieren und veröffentlichen kann. Laut den Forschenden konnte der Fehler bei Echo Dot-Geräten der dritten und vierten Generation festgestellt werden. Er soll inzwischen allerdings behoben worden sein, wie The Register berichtet.

Quellen: Proceedings of the 2022 ACM Asia Conference on Computer and Communications Security (ASIA CCS ’22): „Alexa versus Alexa: Controlling Smart Speakers by Self-Issuing Voice Commands„, The Register

Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.

Du willst mehr von uns lesen? Folge uns auf Google News.