Hören smarte Lautsprecher mit?

1. Dezember, 2019

Smarte Lautsprecher, die eine komfortable Sprachsteuerung in den eigenen vier Wänden ermöglichen, sind zwangsweise mit Mikrofonen ausgestattet und bieten Abhörfunktionen zur Erkennung und Umsetzung von Befehlen der BenutzerInnen an. Die Popularität und Verbreitung dieser zukunftsweisenden Systeme steigt. Während Kritiker die Lautsprecher als mögliche Überwachungseinrichtungen sehen, zieht mit den futuristisch anmutenden Systemen eine Spur von Science-Fiction in unsere Haushalte ein.

Externe Erweiterungen als Schwachstelle, um BenutzerInnen zu belauschen

Die bekanntesten Sprachsteuerungssysteme, Google Home („Okay Google!“) und Amazon Echo („Alexa!“), wurden von Sicherheitsforschern aus Berlin auf mögliche Schwachstellen untersucht. Google und Amazon versichern immer wieder, nur nach der bewussten Aktivierung Sprachaufnahmen zu verarbeiten. Den Forschern des „Security Labs Research“ gelang es jedoch, beide Systeme auch zum unerlaubten Abhören einzusetzen.

Die Achillesferse der Assistenzsysteme sind dabei Applikationen von externen AnbieterInnen. Die jeweiligen Ökosysteme wurden erst nachträglich über Schnittstellen für externer App-EntwicklerInnen geöffnet, um sie mit neuen Funktionen erweitern zu können. In mehreren Stufen konnten die Forscher eine solche App erweitern und aus einem eigentlich nur sprachaktivierten Assistenten eine dauerhafte Wanze zu machen. Auch eine zielgerichtete Abhörung auf frei vorzugebende Stichwörter war umsetzbar.

Abhören als Stufe eins, Voice-Phishing als Krönung

Mit der reinen Überwachung der BenutzerInnen gab man sich noch nicht zufrieden: Bei beiden Herstellern konnte die Applikation so verändert werden, dass die Lautsprecher aktiv nach Passwörtern fragten. Als beispielhafter Grund dafür wurde ein Sicherheitsupdate angegeben – wie viele BenutzerInnen hätten hier hinterfragt und das Passwort nicht verraten?

Sensibilisierung der NutzerInnen und EntwicklerInnen nötig

Nach der Meldung der gefundenen Schwachstellen an die Hersteller wurden die betroffenen Apps zwar rasch entfernt; ob die Sicherheitslücken dauerhaft geschlossen werden konnten, ist jedoch offen. Die Befürchtung, dass Sprachsteuerungssysteme zum Ausspionieren sensibler Informationen missbraucht werden können, bleibt als Worst-Case-Szenario bestehen. Eine kritische Abwägung des Nutzens und möglicher Risiken ist weiterhin empfehlenswert.

Die Ergebnisse der Sicherheitsforscher zeigen, dass zusätzliche Sicherheitsmechanismen sinnvoll sind, um einen Missbrauch zu erschweren. Inzwischen könnte es zielführend sein, smarte Lautsprecher nur an bewusst ausgewählten Stellen zu platzieren und sie zu deaktivieren, wenn sie nicht benötigt werden.

HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung
Frühzeitige Erkennung von Cybergefahren
Gefahren durch vertrauenswürdige Services
Threat Intelligence
SQL Injection
SMTP Smuggling

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download