Inhalt
- Sprach-Phishing-Passwörter für Amazon Echo und Google Home-Lautsprecher
- Abhören von Nutzern über Amazon Echo und Google Home-Lautsprecher
Wir wussten, dass Google und Amazon ihren Nutzern über ihre sprachaktivierten Smart-Speaker Echo und Home zuhören. Eine Gruppe von Sicherheitsforschern hat jetzt jedoch gezeigt, wie Apps von Drittanbietern auf einfache Weise Benutzer und sensible Informationen wie Passwörter abhören können.
Forscher der deutschen SRLabs fanden zwei Hacking-Szenarien - Abhören und Phishing - für Amazon Alexa- und Google Home / Nest-Geräte. Sie erstellten acht Sprach-Apps (Skills for Alexa und Actions for Google Home), um die Hacks zu demonstrieren, die diese intelligenten Lautsprecher zu intelligenten Spionen machen. Die von SRLabs erstellten bösartigen Sprach-Apps durchliefen problemlos die einzelnen Überprüfungsprozesse von Amazon und Google.
Verschiedene Ansätze wurden verwendet, um die Nutzer von Amazon Alexa und Google Home zu belauschen und Informationen von ihnen zu fischen. Die Forscher konnten die Funktionalität der Fähigkeiten und Aktionen ändern, die sie für das Hacken erstellt hatten, nachdem Amazon und Google die Apps genehmigt hatten. Es wurde keine zweite Überprüfungsrunde veranlasst, nachdem die genannten Änderungen vorgenommen wurden.
Sprach-Phishing-Passwörter für Amazon Echo und Google Home-Lautsprecher
Im Video unten sehen Sie, wie ein Benutzer Alexa auffordert, eine Fertigkeit namens Mein Glückshoroskop zu starten. Dies ist eine böswillige Alexa-Fähigkeit, die von SRLabs erstellt und geändert wurde, um nach Passwörtern zu suchen.
Die App wird nicht begrüßt und antwortet stattdessen mit den Worten: "Diese Fähigkeit ist derzeit in Ihrem Land nicht verfügbar." Zu diesem Zeitpunkt würde ein Benutzer annehmen, dass die App aufgehört hat zuzuhören, dies ist jedoch nicht der Fall. Stattdessen wurde die Fähigkeit gehackt, eine Zeichenfolge auszusprechen, die Alexa nicht aussprechen kann. Daher schweigt der Sprecher, wenn er tatsächlich angehalten hat und zuhört.
Die Fertigkeit spielt dann einen Phishing-Spruch ab: „Für Ihr Alexa-Gerät ist ein neues Update verfügbar. Sagen Sie "Start", gefolgt von Ihrem Passwort. "Während Amazon auf diese Weise niemals nach Passwörtern fragt, können Benutzer, die sich dessen nicht bewusst sind, überrascht werden.
Ein ähnlicher Ansatz wurde für Voice-Phishing-Passwörter auf einem Google Home Mini-Lautsprecher verwendet.
Abhören von Nutzern über Amazon Echo und Google Home-Lautsprecher
Zum Abhören verwendeten die Forscher dieselbe Horoskop-App für den Smart Speaker von Amazon. Die App täuscht den Benutzer darüber, dass sie angehalten wurde, während sie im Hintergrund leise lauscht.
Für Google Home war der Hack noch einfacher und es war nicht erforderlich, Auslösewörter anzugeben, um zu lauschen. Die Forscher stellen fest, dass der Benutzer in diesem Fall in eine Schleife gerät, wenn "das Gerät ständig Spracheingaben an den Server des Hackers sendet und dazwischen kurze Pausen ausgibt".
SRLabs hat alle Apps, die in den oben gezeigten Videos vorgeführt werden, entfernt. Die Forscher meldeten ihre Ergebnisse auch an Amazon und Google.
Wie pro Ars TechnicaBeide Unternehmen antworteten, dass sie ihre Genehmigungsverfahren ändern und zusätzliche Mechanismen einführen, um solche Hacks in Zukunft zu vermeiden.
Es gibt jedoch weder ein Update von Amazon noch von Google, bis wann diese Probleme behoben sein werden. Es gibt auch keine Möglichkeit festzustellen, ob eine Fertigkeit oder Aktion diese Lücken in der Vergangenheit missbraucht hat.
