Wie man mit vernetzten Lautsprechern Passwörter klaut

Ein Sicherheitsunternehmen hat vorgeführt, wie Hacker mit den Assistenten von Google und Amazon die Nutzer belauschen und persönliche Daten stehlen.

Die Berliner Forscher führen vor, wie eine vermeintliche Horoskop-App das Amazon-Passwort stiehlt.

Die Berliner Forscher führen vor, wie eine vermeintliche Horoskop-App das Amazon-Passwort stiehlt. Bild: Screenshot Youtube

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Die digitalen Assistenten und vernetzten Lautsprecher kommen aus den negativen Schlagzeilen nicht heraus: Nachdem im August bekannt geworden war, dass die Geräte oft sensible Aufnahmen an die Hersteller übermitteln, zeigte diese Woche ein Berliner Sicherheitsunternehmen auf, wie mit dem Google-Home-Assistent und mit Amazons Alexa persönliche Daten gestohlen werden können. Der Vorgang nennt sich «Vishing»; kurz für «Voice Fishing»: Über eine Sprachverbindung werden vertrauliche Daten abgegriffen.

Der Angriff setzt bei den App-Stores an, mit denen sich die Funktionen der Assistenten erweitern lassen. Bei Google heissen die Apps der Dritthersteller Actions, bei Amazon Skills. Die werden über ein Schlüsselwort aufgerufen und lesen dann zum Beispiel Horoskope vor, verkünden Sportresultate oder spielen Radionachrichten ab.

Spionage-Apps bei Amazon und Google

Das Sicherheitsunternehmen Security Research Labs hat es nun geschafft, sowohl bei Google als auch bei Amazon «Vishing»-Apps im Store zu platzieren. Die funktionieren wie folgt: Als Erstes nach dem Aufruf durch den Nutzer gibt die App eine Fehlermeldung aus, zum Beispiel: «Tut mir leid, diese Aktion ist in deinem Land nicht verfügbar.» Sie bringt den Nutzer dazu, anzunehmen, die Aktion habe nicht geklappt und die App sei inaktiv geworden. Sie bleibt aber aktiv, indem sie Stille wiedergibt – der Trick ist, dass sie den Assistenten ein Leerzeichen «vorlesen» lässt.

Nach einer gewissen Zeit startet der eigentliche Datendiebstahl: Die App sagt, ein wichtiges Update stehe an und zur Installation müsse der Nutzer den Befehl «Update» aussprechen und sein Passwort angeben. Dieses lässt sich dann, allenfalls auch mit der E-Mail-Adresse, abgreifen.

Auch Lauschangriffe sind möglich

Mit einer Variante des Tricks ist ebenfalls ein Lauschangriff auf die Nutzer möglich. Auch da täuscht die App den Benutzer, indem sie nach der eigentlichen Aktion in Betrieb bleibt und die Konversationen im Raum an den Angreifer übermittelt.

Die Sicherheitsexperten geben den Nutzern den Ratschlag, neue Skills bzw. Actions nur mit Vorsicht und Zurückhaltung zu installieren. Ausserdem sollte man die Lautsprecher bei der Nutzung neuer Skills im Auge behalten: Sowohl bei Google als auch bei Amazon signalisiert ein Licht, wenn der Lautsprecher zuhört. Dadurch ist ersichtlich, wenn eine App aktiv bleibt und mitschneidet, obwohl sie ihren Einsatz eigentlich hätte beenden müssen.

Die Hersteller ihrerseits werden aufgefordert, den Überprüfungsprozess für die Dritt-Apps zu verbessern: Insbesondere sollte die Ausgabe von Leerzeichen unterbunden werden, und die Apps sollten auch nicht in der Lage sein, nach Passwörtern zu fragen.

Erstellt: 22.10.2019, 13:27 Uhr

Artikel zum Thema

Wenn die Sprachassistenten beim Sex zuhören

Amazon, Google und Apple nehmen offenbar sogar die intimsten Momente auf. Das zeigen Berichte von Whistleblowern. Mehr...

Wie Firmen Google überlisten

Für gute Positionen in den Suchresultaten werden Milliarden investiert. Einige versuchen es auch mit Tricks – doch Google wehrt sich. Mehr...

Smart Speaker sind in der Schweiz Ladenhüter

Digitec, Microspot und Brack verkaufen erst wenige Geräte – Sie funktionieren in der Schweiz nur eingeschränkt. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Weiterbildung

Banken umwerben Frauen

Weltweit steigt das Privatvermögen von Frauen. Banken zeigen, wie dieses gewinnbringend anzulegen ist.

Blogs

Von Kopf bis Fuss Gute Laune trotz Lichtmangels

Geldblog Warum auch Arbeitslose AHV-pflichtig sind

Die Welt in Bildern

Klimawand: Andres Petreselli bemalt in San Francisco eine Hausfassade mit einem Porträt von Greta Thunberg. (8. November 2019)
(Bild: Ben Margot) Mehr...