Matthias Schüsslers Artikelarchiv

Die gesammelten journalistischen Werke seit 1981

Wie man mit vernetzten Lautsprechern Passwörter klaut

Voice Phishing Forscher zeigen auf, wie Datendiebstahl mit den Assistenten von Google und Amazon ablaufen könnte.

Die digitalen Assistenten und vernetzten Lautsprecher kommen aus den negativen Schlagzeilen nicht heraus: Im August war bekannt geworden, dass die Geräte oft sensible Aufnahmen an die Hersteller übermitteln. Diese Woche zeigte ein Berliner Sicherheitsunternehmen auf, wie mit dem Google-Home-Assistenten und mit Amazons Alexa persönliche Daten gestohlen werden können. Der Vorgang nennt sich Vishing, kurz für «Voice Phishing»: Über eine Sprachverbindung werden vertrauliche Daten abgegriffen.

Der Angriff setzt bei den App-Stores an, mit denen sich die Funktionen der Assistenten erweitern lassen. Bei Google heissen die Apps der Dritthersteller Actions, bei Amazon Skills. Die werden über ein Schlüsselwort aufgerufen und lesen zum Beispiel Horoskope vor, verkünden Sportresultate oder spielen Radionachrichten ab.

Das Sicherheitsunternehmen Security Research Labs hat es nun geschafft, sowohl bei Google als auch bei Amazon Vishing-Apps im Store zu platzieren. Die funktionieren wie folgt: Nach dem Aufruf durch den Nutzer gibt die App als Erstes eine Fehlermeldung aus, zum Beispiel: «Tut mir leid, diese Aktion ist in deinem Land nicht verfügbar.»

Diese Meldung bringt den Nutzer dazu, anzunehmen, die Aktion habe nicht geklappt und die App habe sich deaktiviert. Sie bleibt aber aktiv, indem sie Stille wiedergibt – der Trick ist, dass sie den Assistenten ein Leerzeichen «vorlesen» lässt. Nach einer gewissen Zeit startet der eigentliche Datendiebstahl: Die App sagt, ein wichtiges Update stehe an, und zur Installation müsse der Nutzer den Befehl «Update» aussprechen und sein Passwort angeben. Dieses lässt sich dann, allenfalls auch mit der E-Mail-Adresse, abgreifen.

Den Lautsprecher beobachten

Mit einer Variante des Tricks ist ebenfalls ein Lauschangriff auf die Nutzer möglich. Auch da täuscht die App den Benutzer, indem sie nach der eigentlichen Aktion in Betrieb bleibt und die Konversationen im Raum an den Angreifer übermittelt.

Die Berliner Sicherheitsexperten geben den Nutzern den Ratschlag, neue Skills beziehungsweise Actions nur mit Vorsicht und Zurückhaltung zu installieren. Ausserdem sollte man die Lautsprecher bei der Nutzung neuer Skills im Auge behalten: Sowohl bei Google als auch bei Amazon signalisiert ein Licht, wenn der Lautsprecher zuhört. Dadurch ist ersichtlich, wenn eine App aktiv bleibt und mitschneidet, obwohl sie ihren Einsatz eigentlich hätte beenden müssen.

Die Hersteller ihrerseits werden aufgefordert, den Überprüfungsprozess für die Dritt-Apps zu verbessern: Insbesondere sollte die Ausgabe von Leerzeichen unterbunden werden, und die Apps sollten auch nicht in der Lage sein, nach Passwörtern zu fragen.

Matthias Schüssler

Quelle: Tages-Anzeiger, Mittwoch, 23. Oktober 2019

Rubrik und Tags:

Faksimile
191023 TA Seite 33.pdf

Die Faksimile-Dateien stehen nur bei Artikeln zur Verfügung, die vor mindestens 15 Jahren erschienen sind.

Metadaten
Thema: Abmacher
Nr: 15324
Ausgabe:
Anzahl Subthemen: 1

Obsolete Datenfelder
Bilder:
Textlänge:
Ort:
Tabb: FALSCH