{"id":223825,"date":"2019-10-21T13:36:24","date_gmt":"2019-10-21T11:36:24","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=223825"},"modified":"2024-08-23T22:30:32","modified_gmt":"2024-08-23T20:30:32","slug":"lautsprecher-von-amazon-und-google-als-wanzen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/10\/21\/lautsprecher-von-amazon-und-google-als-wanzen\/","title":{"rendered":"Lautsprecher von Amazon und Google als Wanzen"},"content":{"rendered":"

[English<\/a>]Deutsche Sicherheitsforscher von Security Reasearch Labs konnten zeigen, wie intelligente Lautsprecher wie Amazon Echo oder Google Home zur \u00dcberwachung und zum Phising (ermitteln von Kennw\u00f6rtern etc.) verwendet werden k\u00f6nnen.<\/p>\n

<\/p>\n

\"\"Intelligente Lautsprecher von Amazon und Google bieten einen einfachen Zugriff auf Informationen \u00fcber Sprachbefehle. Dass die intelligenten Lautsprecher wie Amazon Echo oder Google Home im Zweifelsfall mehr oder weniger alles, was gesprochen wird, an die Dienste der betreffenden Anbieter \u00fcbertragen \u2013 und dass dort Mitarbeiter u.U. diese Gespr\u00e4che auswerten m\u00fcssen, ist bekannt.<\/p>\n

Mit Hilfe einer App zur Wanze<\/h2>\n

Aber die intelligenten Lautsprecher lassen sich gezielt als echte Wanzen einsetzen, Apps machen es m\u00f6glich. Ich wurde durch den nachfolgenden Tweet auf das Thema aufmerksam.<\/p>\n

\n

Alexa and Google Home abused to eavesdrop and phish passwords https:\/\/t.co\/f06JIyFMbn<\/a> by @dangoodin001<\/a><\/p>\n

\u2014 Ars Technica (@arstechnica) October 20, 2019<\/a><\/p><\/blockquote>\n

Aber der englischsprachige Beitrag Smart Spies: Alexa and Google Home expose users to vishing and eavesdropping<\/a> der Berliner Sicherheitsforscher von SRLabs (Security Reasearch Labs) ist \u00f6ffentlich abrufbar.<\/p>\n

Der Hintergrund: Die Leistungsf\u00e4higkeit der intelligenten Lautsprecher kann von Drittanbietern durch kleine Apps (Skills for Alexa und Actions bei Google Home) erweitert werden. Die Apps werfen derzeit echte Datenschutzprobleme auf, denn sie k\u00f6nnen missbraucht werden, um Benutzer abzuh\u00f6ren oder ihre Passw\u00f6rter zu \u00e4ndern (Voice-Phish).<\/p>\n

Der Ansatz der Sicherheitsforscher<\/h2>\n

Sowohl Alexa Skills als auch Google Home Actions werden aktiviert, indem der Benutzer den vom Anwendungsentwickler gew\u00e4hlten Aufrufnamen ausw\u00e4hlt. F\u00fcr ihre Demonstration der Sicherheitsproblematik haben die Forscher Luise Frerichs und Fabian Br\u00e4unlein von SRLabs jeweils eine Horoskop-App entwickelt. Die Sicherheitsforscher haben in der Alexa Skills Horoskop-App die Phrase \"Alexa, schalte Meine Horoskope ein.\" gew\u00e4hlt. Benutzer k\u00f6nnen dann im Anschluss Funktionen (Intents) innerhalb der App mittels bestimmter Sprachbefehle aufrufen (z.B. \"Sag mir mein Horoskop f\u00fcr heute\").<\/p>\n

Diese Sprachbefehle k\u00f6nnen variable Argumente beinhalten, die vom Benutzer als Slot-Werte angegeben werden. Die Eingabeslots werden in Text umgewandelt und an das Anwendungs-Backend gesendet, das oft au\u00dferhalb der Kontrolle von Amazon oder Google betrieben wird. Nat\u00fcrlich gibt es auch einen Befehl, um die Auswertung durch Skills oder Actions zu beenden. Dann sollten keine Sprachauswertungen mehr m\u00f6glich sein.<\/p>\n

Amazon und Google kontrollieren die Apps zwar vor einer Freigabe solcher (Skill- bzw. Action) und testen wohl auch, ob die Stopp-Anweisung wirkt. Die Sicherheitsforscher von SRLabs konnten den Code aber nach der \u00dcberpr\u00fcfung \u00e4ndern, ohne dass dieser erneut von Amazon bzw. Google \u00fcberpr\u00fcft wurde. Damit hatten sie die Kontrolle \u00fcber die intelligenten Lautsprecher, weil sie die von den Benutzern verwendeten Apps kontrollierten. Der Befehl zum Stoppen der Auswertung der Spracheingaben blieb schlicht wirkungslos \u2013 die App konnte weiter mith\u00f6ren.<\/p>\n

(Quelle: YouTube<\/a>)<\/p>\n

In obigem Video demonstriert eine der beteiligten Sicherheitsforscherin den Ansatz mit der gefakten Horoskope-Skills-App. Im Video werden die von der App erkannten Sprachinformationen eingeblendet. Es ist zu sehen, wie die Sicherheitsforscherin das Stopp-Kommando gibt, dann aber weiter spricht. Die App wertet weiter die Sprachbefehle aus. \u00dcber die Apps k\u00f6nnen die Sicherheitsforscher Informationen wie Kennw\u00f6rter oder andere Informationen, die der Benutzer gesprochen hat, abfischen.<\/p>\n

In der Demo taucht ein gesprochenes Kennwort auf. Auf diese Weise lie\u00dfen sich aber weitere sensitive Informationen abfischen. Arstechnica hat eine ganze Videoserie der Forscher zum Thema in diesem Artikel<\/a> eingebettet. Weitere Informationen lassen sich dem SRLabs-Beitrag<\/a> sowie bei heise oder hier<\/a> abrufen.<\/p>\n

Da sind wir wieder am Punkt, wo die Diskussion los geht: Mache ich erst mal blau\u00e4ugig was tolles neues und schaue, was bei rum kommt. Dabei ignoriere ich die ewig Gestrigen, die \u00fcberall Risiken und keine Chance sehen? Oder mache ich mir Gedanken \u00fcber die Sicherheit und Privatsph\u00e4re \u2013 und verzichte aus den oben skizzierten Gr\u00fcnden auf so etwas?<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Amazons Alexa-Aufzeichnungen werden nicht gel\u00f6scht<\/a>
\nDSGVO: Google hat Sprachaufzeichnungen weiter gegeben<\/a>
\nApples Siri f\u00fcr Phishing-Angriffe missbrauchen<\/a>
\nSiri petzt Inhalte gesperrter Nachrichten<\/a>
\niOS 9.3.1: Siri petzt trotz iPhone-Sperre<\/a>
\nApple-, iOS und OS X: Flash, WLAN-Trouble, Siri petzt und mehr<\/a>
\nAmazon verschickt unkontrolliert Alexa-Sprachaufzeichnungen<\/a>
\nWarnung der Verbraucherzentrale vor Amazons Alexa<\/a>
\nBekommen App-Entwickler Zugriff auf Alexa-Spracheingaben?<\/a>
\nKrass: Amazon Alexa bestellt tausende Puppenh\u00e4user<\/a>
\nApples Siri wird von 500 Millionen Leuten genutzt<\/a>
\nBundestags-Gutachten warnt Eltern vor Amazons Alexa<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Deutsche Sicherheitsforscher von Security Reasearch Labs konnten zeigen, wie intelligente Lautsprecher wie Amazon Echo oder Google Home zur \u00dcberwachung und zum Phising (ermitteln von Kennw\u00f6rtern etc.) verwendet werden k\u00f6nnen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-223825","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/223825","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=223825"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/223825\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=223825"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=223825"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=223825"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}