Sicherheitsforscher enthüllen neue Alexa- und Google Home-Schwachstelle
iCrowd Newswire - Oct 25, 2019
Foto: Dan Seifert / The Verge
Sicherheitsforscher mit SRLabs haben eine neue Schwachstelle aufgedeckt, die sowohl Google- als auch Amazon-Smart-Lautsprecher betrifft, die es Hackern ermöglichen könnte, ahnungslose Nutzer zu belauschen oder sogar zu phihechen. Durch das Hochladen einer bösartigen Software, die als harmlose Alexa Skill oder Google Action getarnt ist, zeigten die Forscher, wie Sie die intelligenten Lautsprecher dazu bringen können, Nutzer stillschweigend aufzuzeichnen oder sie sogar nach dem Passwort für ihr Google-Konto zu fragen.
Die Sicherheitsanfälligkeit ist eine gute Erinnerung, um die Software von Drittanbietern, die Sie mit Ihren Sprachassistenten verwenden, genau im Auge zu behalten und alle zu löschen, die Sie nach Möglichkeit wahrscheinlich nicht mehr verwenden werden. Es gibt jedoch keine Beweise dafür, dass diese Sicherheitsanfälligkeit in der realen Welt ausgenutzt wurde, und SRLabs gab ihre Ergebnisse sowohl Amazon als auch Google offen, bevor sie veröffentlicht wurden.
In einer Reihe von Videos hat das Team von SRLabs gezeigt, wie die Hacks funktionieren. Eine, eine Aktion für Google Home, ermöglicht es dem Benutzer, eine Zufallszahl zu generieren. Die Aktion tut genau dies, aber die Software hört dann lange nach der Ausführung des ursprünglichen Befehls weiter. Eine andere, eine scheinbar harmlose Horoskop-Fähigkeit für Alexa, schafft es, einen “Stop”-Befehl des Benutzers zu ignorieren und weiterhin still zuzuhören. Zwei weitere Videos zeigen, wie beide Lautsprecher manipuliert werden können, um gefälschte Fehlermeldungen zu geben, nur um eine Minute später mit einer anderen gefälschten Nachricht nach dem Passwort des Benutzers zu fragen.
In allen Fällen war das Team in der Lage, einen Fehler in beiden Sprachassistenten auszunutzen, der es ihnen ermöglichte, viel länger als üblich zuzuhören. Sie taten dies, indem sie den Assistenten eine Reihe von Charakteren fütterten, die sie nicht aussprechen können, was bedeutet, dass sie nichts sagen und trotzdem weiterhin auf weitere Befehle hören. Alles, was der Benutzer sagt, wird dann automatisch transkribiert und direkt an den Hacker gesendet.
Software von Drittanbietern für Smart-Lautsprecher muss von Google oder Amazon geprüft und genehmigt werden, bevor sie mit ihren smarten Lautsprechern verwendet werden kann. Jedoch, ZDNet stellt fest, dass die Unternehmen nicht überprüfen Updates auf bestehende Apps, die die Forscher erlaubt, bösartigen Code in ihre Software schleichen, die dann für Benutzer zugänglich ist.
In einer Erklärung, die Ars Technicazur Verfügung gestellt wurde, sagte Amazon, dass es neue Abschwächungen eingeführt hat, um zu verhindern und zu erkennen, dass Fähigkeiten in der Lage sind, so etwas in der Zukunft zu tun. Es sagte, dass es Fähigkeiten abbaut, wenn diese Art von Verhalten identifiziert wird. Google sagte Auch Ars, dass es Überprüfung Sprossen hat, um diese Art von Verhalten zu erkennen, und hat die Aktionen von den Sicherheitsforschern erstellt entfernt. Ein Sprecher bestätigte der Veröffentlichung auch, dass das Unternehmen eine interne Überprüfung aller Aktionen Dritter durchführt und einige Aktionen während dieser Aktion vorübergehend deaktiviert hat.
Wie ZDNet bemerkt, ist dies nicht das erste Mal, dass alexa oder Google Home-Geräte von Sicherheitsforschern in Phishing- und Abhörtools umgewandelt wurden, aber es ist beunruhigend, dass weiterhin neue Schwachstellen entdeckt werden, insbesondere als die Sicherheit und Datenschutzaspekte beider Geräte werden verstärkt unter die Lupe genommen. Im Moment ist es am besten, Sprachassistenten-Software von Drittanbietern mit der gleichen Vorsicht zu behandeln, die Sie mit Browser-Erweiterungen verwenden sollten, und nur mit Software von Unternehmen zu interagieren, denen Sie genug vertrauen, um sie in Ihr Zuhause zu lassen.
