Amazon Echo mit Alexa - Amazon

21. Oktober 2019

Roman van Genabith

Alexa und Co. zum Phishing missbraucht: Deutsche Sicherheitsforscher demonstrieren Schwäche von Smart Speakern

Alexa ist mit seinen diversen Skills inzwischen vielfältig einsetzbar, doch genau diese Erweiterbarkeit könnte ähnliche Sicherheitsprobleme erzeugen, wie sie bereits an Smartphone und Computer bekannt sind.

Smart Speaker könnten in ähnlicher Weise ein Sicherheitsproblem für Nutzer werden, wie das bereits länger durch Malware an Smartphones oder Mac / PC zu beobachten ist, das haben nun zwei deutsche Sicherheitsforscher eindrucksvoll unter Beweis gestellt.

Sie haben einen Skill für Alexa beziehungsweise eine Google Home-Routine entwickelt, die ganz unschuldige Horoskope vorlesen soll. Diese Anwendung bleibt nach einem Aufruf im Hintergrund aktiv, ohne dass dies dem Nutzer auffällt. Hier zeigt sich, dass die extreme Erweiterbarkeit von Plattformen wie Alexa für den Anwender nicht nur positive Seiten hat, eine zu sorglose Öffnung der Plattformen kann auch Probleme mit sich bringen.

Nutzer werden verleitet, ihr Passwort zu verraten

Zu einem späteren Zeitpunkt dann können Apps wie die von den Experten entwickelte Anwendung den Nutzer auffordern, sein Passwort zu nennen, etwa wie im vorliegenden Fall unter dem Vorwand, dass wichtige Sicherheitsupdates installiert werden müssen. Diese neue Art der Online-Kriminalität hat auch schon einen passenden Namen: Voice-Phishing. Die Kontrolle der Skills und Routinen wird ähnlich aufwendig wie die von eingereichten Apps. Wie dort, können auch hier die Skills zunächst in einwandfreier Form eingereicht und die Manipulation später durch ein Update untergebracht werden. Phishing per Sprachassistent ist derzeit noch ein seltenes Phänomen, wenn aber euch Alexa irgendwann nach euren Passwörtern fragt, wisst ihr, was die Stunde geschlagen hat. Es bleibt abzuwarten, wie erfolgreich Amazon und Google dabei sein werden, verdächtige Skills zu prüfen.

Weitere Artikel

iPhones mit OLED-Display laufen im Dark-Mode deutlich länger

Bloomberg: AR-Brille zum Lesen und Spielen, Apple Watch mit Sleeptracking und ARM-Macs für 2020 geplant

6 Gedanken zu „Alexa und Co. zum Phishing missbraucht: Deutsche Sicherheitsforscher demonstrieren Schwäche von Smart Speakern“

  3. Erst mal kommt mir die Hexe Alexa und der Google Dämon nicht ins Haus. Ihr hab aber nicht auf die weit aus schlimmere Lücke hingewiesen, wenn der Skill normal zu funktionieren scheint, aber dann noch schön lustig Dinge nach vermeintlichem Abschluss aufnimmt. Sorry, wer sich die Hexe oder den Dämon ins Haus holt muss damit rechnen, dass er dem früher oder später zum Opfer fällt.
  4. Wer erzählt denn dem Smart Speaker sein Passwort, wenn er danach fragt? Wie hirnverbrannt kann man denn sein? Ganz davon abgesehen, dass ich mein Passwort wahrscheinlich 15 Mal buchstabieren müsste, bis er es endlich verstanden hat. Aber da muss einem doch ein Licht aufgehen
  5. „Alexa und Co. zum Phishing missbraucht: Deutsche Sicherheitsforscher demonstrieren Schwäche von Smart Speakern“ Warum diese Überschrift? Es geht doch nur um die Geräte der Firmen, die ohnehin Daten sammeln als Geschäftsmodell haben. „und Co.“ bedeutet doch, dass dies alle Speaker betrifft. Schon komisch, dass Apples HomePod überhaupt nicht erwähnt wird. Im Übrigen: Wer sich so etwas holt (ist ja auch billig zu haben und viel besser), der muss mit den Konsequenzen leben – inklusive des so hoch gelobten „offenen Systems“.
    • Der HomePod wurde hier wahrscheinlich deswegen nicht erwähnt, weil man darauf keine zusätzlichen Apps/Programme installieren kann. Alexa lässt sich mit den „Skills“ erweitern der HomePod nicht.

Die Kommentare sind geschlossen.