21.10.2019 10:13 |

Hinterhältig!

So schnell wird Alexa zur gemeinen Passwort-Diebin

Dass permanente lauschende intelligente Lautsprecher aus IT-Sicherheitsperspektive nicht die besten Mitbewohner sind, liegt nah. Welche neuen Möglichkeiten solche Geräte mit Alexa oder Google Assistant Cyberkriminellen in die Hand geben, zeichnet sich aber erst nach und nach ab. Einen Vorgeschmack liefern nun Sicherheitsforscher, die den Lautsprechern manipulierte Apps untergejubelt haben, die den Nutzer nach seinen Passwörtern fragen.

Die IT-Sicherheitsforscher Luise Frerichs und Fabian Bräunlein haben einen Angriff auf Smart-Home-Lautsprecher mit Google Assistant und Amazon Alexa demonstriert, bei dem die Lautsprecher zur Phishing-Waffe werden, um beispielsweise Passwörter oder Zahlungsdaten zu ergaunern.

Dafür haben sie eine Horoskop-App - in der Alexa-Welt „Skill“ genannt - für intelligente Lautsprecher entwickelt und sie zunächst ohne Abhörfunktion den Herstellern zur Prüfung vorgelegt. Die genehmigten die Anwendung für Alexa und Google Assistant - und bemerkten nicht, dass die Forscher ihre App wenig später per Update mit einer Abhörfunktion ausstatteten.

Horoskop-App mit perfider Phishing-Funktion
Konkret wurde die App so gestaltet, dass sie, nachdem sie über das Horoskop informiert, unbemerkt im Hintergrund weiterlief. Währenddessen hätte sie die Nutzer belauschen und Gespräche mitschneiden können. Zusätzlich wurde die App mit einer Funktion angereichert, die einige Zeit nach der Mikrofonabfrage eine Phishing-Attacke startet.

Dabei meldet sich der Lautsprecher mit der Ansage, er benötige Sicherheits-Updates, zu Wort - und fragt den Nutzer nach seinem Passwort. Wer es dem Lautsprecher verrät, bekommt aber keine Updates, sondern liefert höchst private Daten an den Entwickler der im Hintergrund laufenden App.

Amazon in einer ersten Reaktion auf die Entdeckung der IT-Sicherheitsforscher: „Wir haben den betreffenden Skill umgehend blockiert und Schutzmaßnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. Skills werden abgelehnt oder entfernt, sobald ein solches Verhalten identifiziert wird.“ Auch Google hat angekündigt, Anwendungen für seinen Sprachassistenten künftig genauer zu kontrollieren.

Phishing-Banden haben ein neues Werkzeug
Die Demonstration der Sicherheitsforscher zeigt: Intelligente Lautsprecher mit Sprachassistent, die sich wachsender Beliebtheit erfreuen und in immer mehr heimischen Wohnzimmern aufgestellt werden, machen das sonst eher aus dem E-Mail-Postfach bekannte Phänomen Phishing noch gefährlicher. Dass Kriminelle die neu entdeckte Phishing-Methode nutzen werden, steht da nach Einschätzung des IT-Fachmagazins „Heise Security“ außer Frage.

Während Computer- und Smartphone-Nutzer seit Jahren daran gewöhnt sind, bei E-Mails eine gewisse Skepsis an den Tag zu legen, nicht auf jeden Link zu klicken und keine wichtigen Daten zu verraten, sind vernetzte Lautsprecher für manch einen eine Art digitaler Vertrauensmann. Man fragt und kriegt vom braven Smart-Home-Speaker Antwort. Man gewöhnt sich daran, sagt dem Speaker bereitwillig, was der für sein Funktionieren wissen muss - und denkt irgendwann womöglich nicht mehr daran, dass man mit einem Computer spricht, den Kriminelle kapern können.

 krone.at
krone.at
Kommentare
Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Produktvergleiche

Alle Produkte sehen