Google Assistant: Sicherheitsforscher demonstrieren Smart Home-Phishing mit Smart Speakern (Videos)
In immer mehr Haushalten sind Smart Speaker zu finden, die nicht nur die Steuerung des Smart Homes übernehmen, sondern auch für viele andere Aufgaben verwendet werden. Dank der zahlreichen Skills bzw. Assistant Actions können die smarten Assistenten viele zusätzliche Funktionen übernehmen – aber diese Erweiterungen öffnen auch Angreifern Tür und Tor. Wie Sicherheitsforscher nun eindrucksvoll gezeigt haben, lassen sich die Geräte sehr schnell in Wanzen verwandeln oder sogar für Phishing verwenden.
Smart Speaker spalten derzeit die Meinungen: Die Einen finden sie super praktisch und stellen sie in jede Ecke des Hauses, die Anderen halten es für den absoluten Datenschutz- und Privatsphäre-Albtraum. Das kann natürlich jeder für sich selbst entscheiden und kommt bei allen Mitbewohnern hoffentlich auf die gleiche Meinung. Selbst Googles Hardware-Chef hat erst vor wenigen Tagen eingestanden, seine Gäste vorsorglich vor den Smart Speakern zu warnen.
Dank der Alexa Skills oder Assistant Actions ist es möglich, die Smart Speaker mit völlig neuen Aufgaben zu betrauen und den Funktionsumfang zu erweitern. Diese Skills sind grundlegend wie Apps zu betrachten, die vom Smart Speaker gestartet werden und dann die Kontrolle über das Gerät übernehmen und alle Spracheingaben verarbeiten sowie eigene Sprachausgaben abspielen können. Auf beiden Plattformen gibt es diverse Sicherheitsvorkehrungen, die diesen Erweiterungen nicht zu viel Macht einräumen, aber dennoch ließen sich diese Hürden offenbar sehr leicht umgehen.
Sicherheitsforscher haben nun gezeigt, dass es beim Google Assistant und auch bei Alexa sehr leicht möglich ist, weiterhin auf die Stimme des Nutzers zu hören, wenn dieser damit rechnet, dass die Erweiterung beendet ist. Das wird dadurch möglich, dass ein Signalton für das Ende der Erweiterung abgespielt wird, diese aber tatsächlich gar nicht beendet wurde. Sie wird im Hintergrund aktiv gehalten und hat immer wieder aufs Neue 30 Sekunden Zeit, alle Spracheingaben über das Mikrofon mitzuhören. Möglich wird das dadurch, dass die Smart Speaker davon ausgehen, dass der Nutzer die App derzeit benutzt.
Diese Täuschung wird dadurch erreicht, dass die Assistenten eine Sprachausgabe abspielen, die vom Nutzer aber nicht hörbar ist. Bei Alexa wird einfach ein stummes Geräusch abgespielt und der Google Assistant soll kryptische Unicode-Zeichen vorlesen, die ebenfalls keine Sprachausgabe produzieren. In obigem Video wird das sehr gut dargestellt. Im zweiten Video ist zu sehen, wie sich diese weiterhin übernommene Kontrolle sogar dazu verwenden lässt, den Nutzern die Herausgabe des Passworts glaubhaft zu machen. Nicht wenige dürften dieser Aufforderung Folge leisten.
Diese Umsetzungen waren trotz Kontrollen durch Google und Amazon möglich, weil beide Unternehmen neue Skills nur bei der ersten Einreichung überprüfen, während Updates nicht mehr ausgiebig überprüft werden. Diese Funktionen wurden einfach nachträglich per Update eingeführt und konnten als Wolf im Schafspelz als getarnte Apps für Zufallszahlen und andere banale Dinge ihr Unwesen treiben. Google und Amazon sind informiert und wollen die Sicherheitsvorkehrungen verbessert haben, wollten dazu aus nachvollziehbaren Gründen aber keine Details nennen.
Siehe auch
» Smart Home: Googles Hardware-Chef warnt Gäste vor den ständig lauschenden Smart Speakern
[heise]
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Ist das eigentlich Clickbait, vorsätzlich negatives Framing oder mangelnde Sprachkenntniss, dass ihr „disclose“ mit „warnen“ übersetzt?
„Das ist doch nur völlig aufgebauscht, das ist gar kein Sicherheitsproblem, sondern ein Feature, und wer so paranoid ist, der soll halt das Mikrofon abkleben!“
Oder trifft das hier nicht zu, weil das nicht das tolle Pixel 4 ist?