Sie sind hier:

IT-Sicherheit Malware auf dem Smart Speaker: Forscher demonstrieren Smart-Home-Angriffe

München,

Das smarte Zuhause könnte in Zukunft ebenfalls ein Angriffsziel für Cyberkriminalität sein. Das beweisen Forscher des Security Research Labs. Sie haben sogenannte „Smart Spies“ für Amazons Alexa und Google Home demonstriert. Damit lassen sich Nutzer belauschen und sogar Passwörter oder ähnliches abfragen.

Smart Spies für Smart Speakers | © Security Research Labs Smart Spies für Smart Speakers: Malware im Smart Home
Smarte-Home-Anwendungen und -Geräte werden immer beliebter. Unter anderem auch sogenannte Smart Speaker wie Amazons Alexa oder Google Home. Die neue Technik in den eigenen vier Wänden ist jedoch noch sehr anfällig für Malware und Cyberkriminalität. Das beweisen aktuell Forscher des Security Research Labs (SRLabs). Sie haben sogenannte „Smart Spies“ entwickelt, mit denen sich problemlos Phishing- und Lauschangriffe starten lassen.
 
Hintergrund ist, dass sowohl Amazon wie auch Google ihre Smart Speaker für Apps von Drittanbietern geöffnet haben. Wie die Arbeit von SRLabs zeigt, sind die Sicherheitsvorkehrungen der Hersteller bisher aber noch sehr dürftig. So war es den Sicherheitsexperten möglich, eine als Horoskop-App getarnte Malware auf Google-Home- und Amazon-Alexa-Geräte zu schmuggeln. Dafür mussten sie einfach nur eine saubere App zur Review einreichen und im Nachhinein bösartige Änderungen an der Software vornehmen. Dies wurde weder von Google noch Amazon beanstandet.

 

„Okay Google, klaue mir mein Passwort“
 

Die Arbeitsweise der „Smart Spies“ ist recht einfach: Anhand einiger veränderter Befehle und einer Abfolge von lautlosen Zeichen und Symbolen lassen sich lange Pause erstellen, die dem Nutzer vorgaukeln, die Anwendung wurde beendet. Das ist aber nicht der Fall. Im Gegenteil: Das Gerät zeichnet in dieser Zeit munter mit und schickt die möglichen Sprachfetzen an den Angreifer.

 
Noch etwas weiter geht die Phishing-Variante der „Smart Spies“. Erneut wird hier der Sicherheitslücke mit veränderten „Intents“ benutzt sowie die Kombination von lautlosen Zeichen und Symbolen. Das Ziel der Malware ist es jedoch, den Nutzer zum Rausrücken seines Passwortes oder Ähnlichem zu bewegen. Dafür lässt sich am Ende einer bestimmten Zeitspanne beispielsweise eine Aufforderung für ein Update inklusive einer vermeintlichen Passwort-Abfrage schalten. Wegen des zeitlichen Abstandes wirkt dies für den Nutzer wie eine Systemanfrage von Alexa oder Google Home selbst.

 
Die Zusammenfassung der Sicherheitsexperten ist dementsprechend kritisch: Einerseits sollten sich Nutzer auf jeden Fall bewusst sein, dass es Malware für Smart Speaker gebe kann. Die Nutzung einer neuen App für Google-Home-Geräte oder Amazons Alexa sollte deshalb mit Vorsicht geschehen. Andererseits sind aber auch die Hersteller in der Pflicht, besseren Schutz für die Verbraucher zu bieten. So wäre es denkbar, den Review-Prozess auch auf Updates von Apps anzuwenden. Oder spezielle Befehle und Exploits wie die lautlosen Zeichen und Symbole komplett zu sperren.

Update: Amazon hat mittlerweile ein Statement zur Sicherheitslücke bei seinen Smart Speakern veröffentlicht: "Wir haben den betreffenden Skill umgehend blockiert und Schutzmaßnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. Skills werden abgelehnt oder entfernt, sobald ein solches Verhalten identifiziert wird." Auch Google hat mittlerweile reagiert, und möchte in Zukunft Mechanismen einsetzen, um solche Exploits zu verhindern.

Weitere Nachrichten über DSL