Von Google und Amazon Sicherheitsforscher hören Nutzer von smarten Lautsprechern ab

Sicherheitsforscher haben Apps entwickelt, mit denen sie Nutzer von smarten Lautsprechern auch jenseits der Kommandoeingabe unbemerkt abhören konnten.

Berliner Sicherheitsforscher haben nach einem Bericht des Nachrichtenmagazins «Der Spiegel» Sicherheitslücken in dem Freigabeprozess von Apps für smarte Lautsprecher von Amazon und Google aufgedeckt. Die Forscher der Berliner Security Research Labs (SRLabs) konnten über die offiziellen App-Stores für Amazon Echo und Google Home Apps verbreiten, mit denen sich Nutzer eines Amazon Echo oder Google Home unbemerkt abhören liessen. Dabei sei es gelungen, die Sicherheitskontrollen von Amazon und Google zu überlisten.

Die SRLabs-Forscher hatten zunächst harmlose Varianten der Apps, die bei Amazon «Skills» heissen und bei Google «Actions» oder «Aktionen», bei den Unternehmen eingereicht und freischalten lassen. Die Apps konnten Nutzeranfragen zum Beispiel nach einem Horoskop beantworten und täuschten anschliessend ihre Inaktivität vor. Nach der ersten Sicherheitskontrolle wurden die Apps allerdings so verändert, dass sie nach einer «Goodbye»-Meldung weiterhin lauschten. Die unerlaubten Funktionen der manipulierten App wurden von Amazon und Google nicht entdeckt.

Auch Passwörter abgefragt

Die Forscher versuchten bei ihrem Experiment auch, an die Passwörter der Amazon- beziehungsweise Google-Nutzer zu kommen. Die manipulierten Apps reagierten dabei auf jede Frage der Nutzer mit einer Fehlermeldung. Diese besagte, dass die entsprechende Funktion derzeit nicht verfügbar sei.

Danach wurden die Anwender auf ein vermeintliches Sicherheits-Update verwiesen: «Bitte sagen Sie 'Start', gefolgt von Ihrem Passwort». Für unaufmerksame Nutzer musste das klingen, als ob die Aufforderung nicht mehr von der App, sondern direkt von Amazon kommt. Die Forscher erklärten, Anwender sollten immer misstrauisch sein, wenn sie nach ihrem Passwort gefragt werden und es laut sagen sollen.

In der Praxis richteten die Apps quasi keinen Schaden an, weil sie zunächst einmal unter den Tausenden von Skills und Aktionen gefunden und installiert werden mussten. Ausserdem konnten die Berliner Forscher ein wichtiges Sicherheitsmerkmal nicht ausser Kraft setzen: Die smarten Lautsprecher zeigen mit leuchtenden Farbsignalen an, dass sie die Sprache aufzeichnen. Nutzer, die auf die LED-Signale achteten, bekamen also mit, dass die Sprachübertragung immer noch läuft.

Schwachstelle App-Aktualisierung

Das Experiment legte gravierende Schwachstellen bei der Freigabe von App-Aktualisierungen bei Amazon und Google offen. Sie achteten nur bei der erstmaligen Aufnahme der Apps in den Store darauf, dass die «Skills» oder «Aktionen» nicht wie Abhörwanzen funktionieren. Bei den Updates wurden die neu eingebauten Lecks nicht entdeckt.

Die SRLabs-Forscher informierten die Unternehmen über ihre Versuche, die daraufhin reagierten. «Wir haben Schutzmassnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. Skills werden abgelehnt oder entfernt, sobald ein solches Verhalten identifiziert wird», teilte Amazon dem «Spiegel» mit.

Eine Google-Sprecherin schrieb auf Anfrage: «Wir untersagen und entfernen jede Action, die gegen unsere Richtlinien verstösst.» Die von den Forschern entwickelten Actions habe Google gelöscht. «Wir setzen zusätzliche Mechanismen ein, um derartiges in Zukunft zu unterbinden.»

Galerie: Das sind die besten Google-Alternativen

Weitere 14 Bilder ansehen

Das sind die besten Google-Alternativen

Es muss nicht immer der Monopolist sein. Das sind die besten Alternativen zur Suche per Google.

Bild: iStock

Wichtigster Konkurrent ist wohl Bing von Microsoft. Es bietet alle wichtigen Features einer Suchmaschine und erstellt seinen eigenen Suchindex.

Bild: dj

Auch der Kartendienst von Bing ist eine Eigenentwicklung.

Bild: dj

Qwant versteht sich explizit als die europäische Alternative zum Giganten Google. Der französische Dienst erstellt ebenfalls einen eigenen Suchindex und will mit besserem Datenschutz punkten.

Bild: dj

Der Kartendienst von Qwant greift auf Daten von OpenStreetMaps zurück.

Bild: dj

Höchste Priorität auf den Privatsphärenschutz legt DuckDuckGo. Keinerlei persönlichen Daten der Nutzer sollen gesammelt werden. Die Suchergerbnisse bei DuckDuckGo stammen aus verschiedenen Quellen, hauptsächlich Bing.

Bild: dj

Bei Kartendienst setzt DuckDuckGo auf Daten aus Apple Maps.

Bild: dj

Nebenbei der Regenwald retten geht mit Ecosia. Diese verwendet ihre Werbeeinnahmen für das Pflanzen von neuen Bäumen. Die Suchergebnisse stammen hier von Bing.

Bild: dj

Einen eigenen Kartendienst hat Ecosia nicht, sondern leitet Nutzer zu anderen Anbietern weiter, etwa diese Öko-Maps von Treeday.

Bild: dj

Aus Schweizer Landen stammt Swisscows, das ebenfalls einen Datenschutzfokus hat. Seine Ergebnisse stammen auch von Bing.

Bild: dj

Wer Google nicht ganz verlassen möchten, kann Startpage nutzen. Diese zeigt die Suchergebnisse von Google an, allerdings ohne jegliche Personalisierung. Damit soll man den herausragenden Suchindex von Google nutzen können, ohne dabei die eigene Privatsphäre zu kompromittieren. 

Bild: dj

Und wie kann man nun dafür sorgen, dass Suchanfragen auch zur bevorzugten Suchmaschine geschickt werden? Bei Chrome muss man dazu in die Einstellungen -> «Suchmaschine» gehen. Hier gibt es erste Alternativen.

Bild: dj

Klickt man auf «Suchmaschinen verwalten», vergrössert sich die Auswahl deutlich. Durch Klicken auf die drei Punkte bei jedem Eintrag kann man die jeweilige Suchmaschine zur Standard-Option machen.

Bild: dj

Bei Firefox muss man auf das Lupen-Symbol in der Suchleiste klicken. Nun gibt es eine Auswahl alternativer Suchmaschinen, die durch Klick auf «Sucheinstellungen ändern» nochmal deutlich grösser wird.

Bild: dj