Hinterhältig!

So schnell wird Alexa zur gemeinen Passwort-Diebin

Digital
21.10.2019 10:13

Dass permanente lauschende intelligente Lautsprecher aus IT-Sicherheitsperspektive nicht die besten Mitbewohner sind, liegt nah. Welche neuen Möglichkeiten solche Geräte mit Alexa oder Google Assistant Cyberkriminellen in die Hand geben, zeichnet sich aber erst nach und nach ab. Einen Vorgeschmack liefern nun Sicherheitsforscher, die den Lautsprechern manipulierte Apps untergejubelt haben, die den Nutzer nach seinen Passwörtern fragen.

Die IT-Sicherheitsforscher Luise Frerichs und Fabian Bräunlein haben einen Angriff auf Smart-Home-Lautsprecher mit Google Assistant und Amazon Alexa demonstriert, bei dem die Lautsprecher zur Phishing-Waffe werden, um beispielsweise Passwörter oder Zahlungsdaten zu ergaunern.

Dafür haben sie eine Horoskop-App - in der Alexa-Welt „Skill“ genannt - für intelligente Lautsprecher entwickelt und sie zunächst ohne Abhörfunktion den Herstellern zur Prüfung vorgelegt. Die genehmigten die Anwendung für Alexa und Google Assistant - und bemerkten nicht, dass die Forscher ihre App wenig später per Update mit einer Abhörfunktion ausstatteten.

Horoskop-App mit perfider Phishing-Funktion
Konkret wurde die App so gestaltet, dass sie, nachdem sie über das Horoskop informiert, unbemerkt im Hintergrund weiterlief. Währenddessen hätte sie die Nutzer belauschen und Gespräche mitschneiden können. Zusätzlich wurde die App mit einer Funktion angereichert, die einige Zeit nach der Mikrofonabfrage eine Phishing-Attacke startet.

Dabei meldet sich der Lautsprecher mit der Ansage, er benötige Sicherheits-Updates, zu Wort - und fragt den Nutzer nach seinem Passwort. Wer es dem Lautsprecher verrät, bekommt aber keine Updates, sondern liefert höchst private Daten an den Entwickler der im Hintergrund laufenden App.

Amazon in einer ersten Reaktion auf die Entdeckung der IT-Sicherheitsforscher: „Wir haben den betreffenden Skill umgehend blockiert und Schutzmaßnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. Skills werden abgelehnt oder entfernt, sobald ein solches Verhalten identifiziert wird.“ Auch Google hat angekündigt, Anwendungen für seinen Sprachassistenten künftig genauer zu kontrollieren.

Phishing-Banden haben ein neues Werkzeug
Die Demonstration der Sicherheitsforscher zeigt: Intelligente Lautsprecher mit Sprachassistent, die sich wachsender Beliebtheit erfreuen und in immer mehr heimischen Wohnzimmern aufgestellt werden, machen das sonst eher aus dem E-Mail-Postfach bekannte Phänomen Phishing noch gefährlicher. Dass Kriminelle die neu entdeckte Phishing-Methode nutzen werden, steht da nach Einschätzung des IT-Fachmagazins „Heise Security“ außer Frage.

Während Computer- und Smartphone-Nutzer seit Jahren daran gewöhnt sind, bei E-Mails eine gewisse Skepsis an den Tag zu legen, nicht auf jeden Link zu klicken und keine wichtigen Daten zu verraten, sind vernetzte Lautsprecher für manch einen eine Art digitaler Vertrauensmann. Man fragt und kriegt vom braven Smart-Home-Speaker Antwort. Man gewöhnt sich daran, sagt dem Speaker bereitwillig, was der für sein Funktionieren wissen muss - und denkt irgendwann womöglich nicht mehr daran, dass man mit einem Computer spricht, den Kriminelle kapern können.

 krone.at
krone.at
Loading...
00:00 / 00:00
play_arrow
close
expand_more
Loading...
replay_10
skip_previous
play_arrow
skip_next
forward_10
00:00
00:00
1.0x Geschwindigkeit
explore
Neue "Stories" entdecken
Beta
Loading
Kommentare

Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.

Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.

Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.

(Bild: krone.at)
(Bild: krone.at)
Kreuzworträtsel (Bild: krone.at)
(Bild: krone.at)



Kostenlose Spiele