Politik & Wirtschaft

Nach einer "Goodbye"-Meldung lauschten die Apps weiterhin © APA (dpa)
Nach einer "Goodbye"-Meldung lauschten die Apps weiterhin © APA (dpa)

APA

Sicherheitsforscher hörten Nutzer von smarten Lautsprechern ab

21.10.2019

Berliner Sicherheitsforscher haben nach einem Bericht des Nachrichtenmagazins "Der Spiegel" Sicherheitslücken in dem Freigabeprozess von Apps für smarte Lautsprecher von Amazon und Google aufgedeckt. Sie konnten über die offiziellen App-Stores für Amazon Echo und Google Home Apps verbreiten, mit denen sich Nutzer eines Amazon Echo oder Google Home unbemerkt abhören ließen

Den Forschern der Berliner Security Research Labs (SRLabs) sei es gelungen, die Sicherheitskontrollen von Amazon und Google zu überlisten, hieß es in dem Bericht. Sie hatten zunächst harmlose Varianten der Apps, die bei Amazon "Skills" heißen und bei Google "Actions" oder "Aktionen", bei den Unternehmen eingereicht und freischalten lassen.

Die Apps konnten Nutzeranfragen zum Beispiel nach einem Horoskop beantworten und täuschten anschließend ihre Inaktivität vor. Nach der ersten Sicherheitskontrolle wurden die Apps allerdings so verändert, dass sie nach einer "Goodbye"-Meldung weiterhin lauschten. Eine erneute Überprüfung der manipulierten App habe nicht stattgefunden.

Farbsignale zeigen Sprachaufzeichnung an

In der Praxis richteten die Apps quasi keinen Schaden an, weil sie zunächst einmal unter den Tausenden von Skills und Aktionen gefunden und installiert werden mussten. Außerdem zeigen die leuchtenden Farbsignale an den Geräten an, dass sie die Sprache aufzeichnen.

Die SRLabs-Forscher informierten die Unternehmen über ihre Versuche, die daraufhin reagierten. "Wir haben Schutzmaßnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. Skills werden abgelehnt oder entfernt, sobald ein solches Verhalten identifiziert wird", teilte Amazon dem "Spiegel" mit. Eine Google-Sprecherin schrieb auf Anfrage: "Wir untersagen und entfernen jede Action, die gegen unsere Richtlinien verstößt." Die von den Forschern entwickelten Actions habe Google gelöscht. "Wir setzen zusätzliche Mechanismen ein, um derartiges in Zukunft zu unterbinden."

Mistrauen bei Frage nach Passwort empfohlen

Die Forscher versuchten bei ihrem Experiment auch, an die Passwörter der Amazon- beziehungsweise Google-Nutzer zu kommen. Die manipulierten Apps reagierten dabei auf jede Frage der Nutzer mit einer Fehlermeldung. Diese besagte, dass die entsprechende Funktion derzeit nicht verfügbar sei.

Danach wurden die Anwender auf ein vermeintliches Sicherheits-Update verwiesen: "Bitte sagen Sie 'Start', gefolgt von Ihrem Passwort". Für unaufmerksame Nutzer musste das klingen, als ob die Aufforderung nicht mehr von der App, sondern direkt von Amazon kommt. Die Forscher erklärten, Anwender sollten immer misstrauisch sein, wenn sie nach ihrem Passwort gefragt werden und es laut sagen sollen.

Das Experiment legte gravierende Schwachstellen bei der Freigabe von App-Aktualisierungen bei Amazon und Google offen. Sie achteten nur bei der erstmaligen Aufnahme der Apps in den Store darauf, dass die "Skills" oder "Aktionen" nicht wie Abhörwanzen funktionieren. Bei den Updates wurden die neu eingebauten Lecks nicht entdeckt.

STICHWÖRTER
Sicherheit  | Wissenschaft  | Apple  | Alphabet (ehemals Google)  | Deutschland  | Berlin  | Wirtschaft und Finanzen  | Branchen  | IT  |
Weitere Meldungen aus Politik & Wirtschaft
APA
Partnermeldung