Forscher von SRLabs haben herausgefunden, wie man über Apps (Skills) von Drittanbietern auf Sprachassistenten, sensible Daten des Nutzers abgreifen kann.
Alexa fragt nach dem Passwort
Die Tatsache, dass Alexa oder Google niemals nach dem Passwort oder ähnlichen sensiblen Daten fragt, sollte den meisten Nutzern bekannt sein. Leider gibt es aber immer wieder Fälle, in denen Menschen auf sogenannte Phishing-Attacken hereinfallen. Wie konkret so ein Angriff auf einem Sprachassistenten aussehen kann, haben nun Forscher von SRLabs in zwei kleinen Videobeispielen präsentiert.
Ihr als Horoskop getarntes Programm, gibt nach dem Start eine Fehlermeldung aus, dass der Dienst in der Region des Nutzers nicht zur Verfügung stehen würde. Hier gehen die meisten Nutzer nun davon aus, dass das Programm bzw. der Skill nicht gestartet wurde. In der Realität folgt aber lediglich eine einminütige Pause, nach welcher der Sprachassistent bekannt gibt, dass ein Update zur Verfügung steht. Um es zu starten, soll man sein Amazon/Google Passwort angeben.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Gespräche abhören mit Google Actions
Auch mit den Google Actions können Sprachaufnahmen an Unbefugte gelangen. Hierzu haben die Forscher eine einfache Google Action erstellt, welche eine Zufallszahl ausgeben soll. Nach der Ausgabe dieser Zahl hört der Sprachassistent dann aber ohne das Wissen des Nutzers weiter zu und überträgt die Sprachaufnahme.
Stellungnahme von Amazon
Amazon äußerst sich zu diesem Vorfall wie folgt:
Das Vertrauen unserer Kunden ist uns wichtig und wir führen Sicherheitsüberprüfungen im Rahmen der Skill-Zertifizierung durch. Wir haben den betreffenden Skill umgehend blockiert und Schutzmaßnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. Skills werden abgelehnt oder entfernt, sobald ein solches Verhalten identifiziert wird.
Welche Schutzmechanismen zukünftig solche Arten von Skills erkennen und verhindern sollen, wurde aber nicht näher spezifiziert.
Was sagen uns diese Beispiele?
Der meiner Meinung nach wichtigste Punkt, den man aus den Beispielen lernen kann ist, dass man darauf achten sollte welche Programme von Drittanbietern man auf seinem Sprachassistenten aktiviert. Natürlich sind aber auch die Hersteller, Amazon und Google, selber in der Pflicht, neue Apps und Skills strenger zu prüfen, bevor diese veröffentlicht werden. Auch Stichproben, nachdem ein Skill „live“ ist, dürfen hier nicht fehlen.
Ihr wollt in Zukunft keine News mehr verpassen? Dann folgt uns auf Facebook, Twitter, dem RSS Feed oder abonniert unseren Newsletter! Auch auf YouTube findet Ihr übrigens viele hilfreiche Videos.
Hinterlasse uns einen Kommentar
Mit der Nutzung dieses Formulars, erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch diese Website einverstanden. Weitere Informationen kannst du der Datenschutzerklärung entnehmen.