Smart Home: Googles Smart Speaker lassen sich mit einem Laserpointer ‚hacken‘ und fernsteuern (Videos)
In immer mehr Haushalten zählen Smart Speaker zur Grundausstattung, denn sie können nicht nur Fragen beantworten und eine Reihe von Aufgaben ausführen, sondern nehmen auch eine zentrale Rolle bei der Smart Home-Steuerung ein. Das ist sehr komfortabel, kann aber auch sehr schnell problematisch werden: Forwscher haben nun gezeigt, dass sich die Smart Speaker sogar aus mehr als 100 Meter Entfernung per Laser „hacken“ lassen und über diese Befehle entgegennehmen.
Während der ersten Welle des Smart Speaker-Booms gab es viele Beispiele dafür, wie leicht sich die Geräte hacken und fremde Kommandos ausführen lassen – wobei hacken vielleicht nicht immer das richtige Wort war. Es wurden einfach über den Smartphone-Lautsprecher oder teilweise sogar über den Fernseher (erinnert euch an den legendären Burger King-Werbespot) Befehle abgespielt, die vom Smart Speaker erkannt und anstandslos ausgeführt wurden. So einfach ist das heute dank Stimmenerkennung und Sicherheitsmechanismen nicht mehr, aber auch die Angreifer bleiben natürlich nicht stehen und finden neue Wege.
In der Theorie waren Smart Speaker-Hacks stets davon abhängig, dass sich die Geräte in Hörweite befinden müssen, sodass das interne Mikrofon die Befehle des Angreifers hören kann. Schon oft hat sich gezeigt, dass die Mikrofone sehr sensibel sein können und auch Geräusche oder Befehle vernehmen, die für den Menschen kaum bis gar nicht hörbar sind. Eine neue theoretische Methode zeigt nun, dass selbst die Hörweite gar nicht mehr unbedingt notwendig ist. Es reicht eine gerade Sichtweite und eine Entfernung von bis zu 110 Metern (!). Alles was dafür benötigt wird, ist ein einfacher Laserpointer.
Für den theoretischen Angriff richteten die Forscher einen Laserpointer genau auf das Mikrofon des Smart Speakers, das kleinste Schwingungen wahrnehmen kann. Durch einen gebündelten Strahl in hoher Intensität lassen sich diese Schwingungen auslösen, die vom Mikrofon als Sprachbefehl des Nutzers interpretiert werden. Mit der richtigen Codierung, die durch einfaches aber extrem schnelles Blinken des Lasers erreicht wird, lassen sich Sprachbefehle imitieren und fast nach Belieben übermitteln. In den Videos zeigen die Forscher, dass die Smart Speaker tatsächlich darauf reagieren und problemlos die Befehle ausführen.
Smart Home Aktion! Amazon Echo Dot Smart Speaker Gratis mit 6 Monaten Amazon Music & Audible-Zugang
Das ist natürlich sehr theoretisch und kann auch nicht unbedingt als Sicherheitslücke der Smart Speaker gewertet werden, denn grundsätzlich funktioniert das bei jedem Gerät mit einem offenen Mikrofon. Dennoch zeigt es potenzielle Gefahren auf, die sich gerade durch die Smart Home-Steuerung ergeben. So wäre es ohne weitere Sicherheitsmechanismen, die viele Nutzer bekanntlich aus Bequemlichkeit gerne abstellen, möglich, etwa das Haustürschloss zu öffnen, die Garage zu öffnen oder vielleicht auch die Alarmanlage auszuschalten. Dafür müssen zwar einige unglückliche Faktoren zusammenkommen, aber die theoretische Möglichkeit ist da.
Durch die Beschränkung auf die Stimme von bekannten Personen lässt sich eine Sicherheit herstellen, aber vermutlich lassen sich mit solchen Laserpointer-Tricks auch recht schnell diverse Stimmenfrequenzen durchspielen, bis der Speaker dann irgendwann mal anbeißt und tatsächlich einen Befehl ausführt. Google hatte sich schon in der ersten Runde des Experiments dazu geäußert und bekräftigt, immer neue Schritte für die Sicherheit der Nutzer zu gehen. Einen echten Schutz kann man aber wohl so leicht nicht bieten.
Die einfachste Lösung, wenn das Szenario überhaupt möglich ist, ist es, den Smart Speaker nicht mit dem Mikrofon in Sichtweite eines Fensters zu platzieren.
Smart Home Aktion! Amazon Echo Dot Smart Speaker Gratis mit 6 Monaten Amazon Music & Audible-Zugang
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
OT: Im neuen Chromecast mit Android-TV kann man im Inaktivmodus keine Google Photos mehr nutzen. Wer weiß mehr? Sowohl auf dem Cc als auch in Google Home wird die Option nicht angezeigt. Aaaaargh.
Interessant, naja ich denke wirklich sicherheitsrelevante Systeme sollten gar nicht erst mit smart speaker verbunden werden und in autarken Systemen laufen. Es reicht doch Licht oder Musik damit zu steuern. Den Rest lieber mit Schaltern.
Alter Hut mit Bart. Google das doch mal.