PHNjcmlwdCBhc3luYyBzcmM9Imh0dHBzOi8vcGFnZWFkMi5nb29nbGVzeW5kaWNhdGlvbi5jb20vcGFnZWFkL2pzL2Fkc2J5Z29vZ2xlLmpzIj48L3NjcmlwdD4NCjwhLS0gU21hcnRob21lQXNzaXN0ZW50IE5lYmVuIExvZ28gLS0+DQo8aW5zIGNsYXNzPSJhZHNieWdvb2dsZSINCiAgICAgc3R5bGU9ImRpc3BsYXk6aW5saW5lLWJsb2NrO3dpZHRoOjcyOHB4O2hlaWdodDoxMTBweCINCiAgICAgZGF0YS1hZC1jbGllbnQ9ImNhLXB1Yi00MTkxOTE4MTk5MjEzODEwIg0KICAgICBkYXRhLWFkLXNsb3Q9IjUwMzA4OTE5NTAiPjwvaW5zPg0KPHNjcmlwdD4NCiAgICAgKGFkc2J5Z29vZ2xlID0gd2luZG93LmFkc2J5Z29vZ2xlIHx8IFtdKS5wdXNoKHt9KTsNCjwvc2NyaXB0Pg==

SRLabs demonstriert Phishing mit Sprachassistenten

0

Forscher von SRLabs haben herausgefunden, wie man über Apps (Skills) von Drittanbietern auf Sprachassistenten, sensible Daten des Nutzers abgreifen kann.

Alexa fragt nach dem Passwort

Die Tatsache, dass Alexa oder Google niemals nach dem Passwort oder ähnlichen sensiblen Daten fragt, sollte den meisten Nutzern bekannt sein. Leider gibt es aber immer wieder Fälle, in denen Menschen auf sogenannte Phishing-Attacken hereinfallen. Wie konkret so ein Angriff auf einem Sprachassistenten aussehen kann, haben nun Forscher von SRLabs in zwei kleinen Videobeispielen präsentiert.

Ihr als Horoskop getarntes Programm, gibt nach dem Start eine Fehlermeldung aus, dass der Dienst in der Region des Nutzers nicht zur Verfügung stehen würde. Hier gehen die meisten Nutzer nun davon aus, dass das Programm bzw. der Skill nicht gestartet wurde. In der Realität folgt aber lediglich eine einminütige Pause, nach welcher der Sprachassistent bekannt gibt, dass ein Update zur Verfügung steht. Um es zu starten, soll man sein Amazon/Google Passwort angeben.

Gespräche abhören mit Google Actions

Auch mit den Google Actions können Sprachaufnahmen an Unbefugte gelangen. Hierzu haben die Forscher eine einfache Google Action erstellt, welche eine Zufallszahl ausgeben soll. Nach der Ausgabe dieser Zahl hört der Sprachassistent dann aber ohne das Wissen des Nutzers weiter zu und überträgt die Sprachaufnahme.

Stellungnahme von Amazon

Amazon äußerst sich zu diesem Vorfall wie folgt:

Das Vertrauen unserer Kunden ist uns wichtig und wir führen Sicherheitsüberprüfungen im Rahmen der Skill-Zertifizierung durch. Wir haben den betreffenden Skill umgehend blockiert und Schutzmaßnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. Skills werden abgelehnt oder entfernt, sobald ein solches Verhalten identifiziert wird.

Welche Schutzmechanismen zukünftig solche Arten von Skills erkennen und verhindern sollen, wurde aber nicht näher spezifiziert.

Was sagen uns diese Beispiele?

Der meiner Meinung nach wichtigste Punkt, den man aus den Beispielen lernen kann ist, dass man darauf achten sollte welche Programme von Drittanbietern man auf seinem Sprachassistenten aktiviert. Natürlich sind aber auch die Hersteller, Amazon und Google, selber in der Pflicht, neue Apps und Skills strenger zu prüfen, bevor diese veröffentlicht werden. Auch Stichproben, nachdem ein Skill “live” ist, dürfen hier nicht fehlen.

Ihr wollt in Zukunft keine News mehr verpassen? Dann folgt uns auf FacebookTwitter, dem RSS Feed oder abonniert unseren Newsletter! Auch auf YouTube findet Ihr übrigens viele hilfreiche Videos.

Quelle

Teile den Beitrag mit anderen

Über den Autor

Florian Beckmann

Dem Thema Smart-Home seit der Einführung von Alexa, Ende 2016, verfallen. Seit dem wird darüber gebloggt, YouTube Videos gedreht und die eigene Wohnung automatisiert, wo es nur geht. 37 Jahre alt, Vater von zwei Kindern, wohnhaft in Hamburg und hauptberuflich Berufssoldat.

Hinterlasse uns doch ein Kommentar