Suche AgendaMobileDigitale SchweizIT-SecurityKünstliche IntelligenzBildung & KarriereCloudSocial MediaInfrastrukturenTelekommunikationWirtschaft

Berliner Security-Forscher decken Lücke in smarten Lautsprechern auf

Verfasst von ictk am Mo, 21. Oktober 2019 - 13:06
IT-Security
Berliner Sicherheitsforscher haben nach einem Bericht des Nachrichtenmagazins „Der Spiegel“ Sicherheitslücken in dem Freigabeprozess von Apps für smarte Lautsprecher von Amazon und Google aufgedeckt. Sie konnten über die offiziellen App-Stores für Amazon Echo und Google Home Apps verbreiten, mit denen sich Nutzer eines Amazon Echo oder Google Home unbemerkt abhören ließen

IT-Security-Forschern ist es in Berlin gelungen, Sicherheitslücken im Freigabeprozess von Apps für smarte Lautsprecher von Amazon und Google aufzuspüren. Laut einem Bericht des Nachrichtenmagazins "Der Spiegel" konnten über die offiziellen App-Stores für Amazon Echo und Google Home Apps verbreitet werden, mit denen sich Nutzer eines Amazon Echo oder Google Home unbemerkt abhören liessen

Den Wissenschaftlern der Berliner Security Research Labs (SRLabs) ist es gemäss dem Bericht gelungen, die Sicherheitskontrollen von Amazon und Google zu überlisten. Sie hatten zunächst harmlose Varianten der Apps, die bei Amazon „Skills“ heissen und bei Google „Actions“ oder „Aktionen“, bei den Unternehmen eingereicht und freischalten lassen. Die Apps konnten Nutzeranfragen zum Beispiel nach einem Horoskop beantworten und täuschten anschliessend ihre Inaktivität vor. Nach der ersten Sicherheitskontrolle wurden die Apps allerdings so verändert, dass sie nach einer „Goodbye“-Meldung weiterhin lauschten. Eine neue Überprüfung der manipulierten App habe nicht stattgefunden.

In der Praxis richteten die Apps quasi keinen Schaden an, weil sie zunächst einmal unter den Tausenden von Skills und Aktionen gefunden und installiert werden mussten. Außerdem zeigen die leuchtenden Farbsignale an den Geräten an, dass sie die Sprache aufzeichnen. Das Experiment der Forscher legte allerdings gravierende Schwachstellen bei der Freigabe von App-Aktualisierungen bei Amazon und Google offen. Die SRLabs-Experten informierten in der Folge die Unternehmen über ihre Versuche, die daraufhin reagierten. „Wir haben Schutzmassnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. Skills werden abgelehnt oder entfernt, sobald ein solches Verhalten identifiziert wird“, teilte Amazon dem „Spiegel“ mit.

Eine Google-Sprecherin bekundete: "Wir untersagen und entfernen jede Action, die gegen unsere Richtlinien verstösst." Die von den Forschern entwickelten Actions habe Google gelöscht. "Wir setzen zusätzliche Mechanismen ein, um Derartiges in Zukunft zu unterbinden," so die Sprecherin.