HOME

Amazon Echo und Google Home: Deutsche Hacker brachten Alexa zum Dauerlauschen – und griffen sogar Passwörter ab

Eine Wanze im Wohnzimmer, so sehen Kritiker Sprachlautsprecher wie Amazon Echo oder Google Home. Nun gelang es deutschen Sicherheitsexperten tatsächlich, die Geräte an Kontrollen der Hersteller vorbei zum dauerhaften Lauschen zu überreden.

Amazon - Echo-Lautsprecher - Doppelmord- Aufklärung

Amazons Echo-Lautsprecher finden sich in vielen deutschen Haushalten (Symbolbild).

Picture Alliance

Es sind gruselige Aufnahmen: Obwohl die Anfrage der Nutzerin längst beantwortet ist, zeichnen Alexa und Googles Assistant weiter jedes Wort auf und leiten es an fremde Server weiter. An einem Punkt fragen die Assistenten sogar im Auftrag des Hackers nach einem Passwort. Doch bei dem auf Youtube zu sehenden Clips handelt es sich nicht um eine Warnung vor möglichen Gefahren - sondern um Live-Demonstrationen eines gelungenen Angriffs auf die Sprachassistenten.

Obwohl die Interaktion mit Alexa und Co. für viele Menschen ganz selbstverständlich zum Alltag gehört, bleibt die Angst vor möglichen Lauschattacken groß. Die beiden deutschen Sicherheits-Experten Luise Frerichs und Fabian Bräunlein von SRLabs zeigen nun, dass das durchaus auch angemessen ist. Ihnen gelang es, Schadsoftware an Googles und Amazons Sicherheitskontrollen vorbeizuschmuggeln - und Amazon Echo und Google Home mit völlig unscheinbaren Programmen zur Wanze umzubauen.

+++ Spion im Zuhause? Amazons Echo-Chef verrät, wie viel Alexa mithört - und wie sie Geld verdient +++

So gelang der Angriff

Die beiden Experten konnten jeweils vier der von Amazon Skills und von Google Actions genannten Anwendungen für Google Home und Amazon  Echo in den jeweiligen Download-Portalen der Hersteller unterbringen. Vier der Apps waren dabei deutsch-sprachig. Die als Horoskop oder Zahlengeneratoren getarnten Anwendungen konnten die Nutzer aushorchen und sogar Passwörter erfragen. Obwohl beide Firmen Apps vor der Zulassung prüfen, kamen die Apps unbeanstandet durch.

Viel Hacker-Technik brauchten Frerichs und Bräunlein erschreckenderweise nicht. Sie machten sich stattdessen die Erwartungen der Kunde zu nutzen. Um mitlauschen zu können, ließen sie die Anwendungen etwa eine Minute Stille halten, nachdem die erwartete Antwort eigentlich beendet war. Statt das Programm zu schließen, wurde aber weiter aufgezeichnet. Um die Nutzer im Dunkeln zu halten, ertönte bei Google sogar das Tonsignal, das ein Ende des Befehls anzeigt. Alexa verabschiedete sich. Nur der weiter leuchtende blaue Ring deutete beim Amazon Echo darauf hin, dass das Gerät weiter zuhörte

Zum Abgreifen von Passwörtern bedienten sich die beiden eines anderen Tricks. Statt einer Antwort erhielten die Nutzer eine Fehlermeldung: Der Befehl sei gerade nicht umsetzbar. Nach einer Minute meldete sich dann die vertraute Stimme des Assistenten beim Nutzer. Ein Update sei nötig, es würde nach Bestätigung des Passworts gestartet. Hier hätte man auch beliebige andere Daten wie eine Kreditkartennummer von den unbedarften Anwendern fordern können, erklärt Frerichs im Video.

Amazon und Google sind informiert

Den beiden sogenannten Whitehat-Hackern geht es darum, auf die Missbrauchs-Gefahr der Sprachassistenten hinzuweisen, erklären sie in einem Blogpost. Einige der Apps haben sie bereits selbst zurückgezogen, die anderen wurden von Amazon und Google aus den Stores geworfen, nachdem die Konzerne von den Hackern auf die Probleme hingewiesen worden waren. Auch in ihrem Blogpost fordern SRLabs die Unternehmen zu einer genaueren Prüfung der Programme für ihre Geräte auf. Vor allem die Fähigkeit, Pausen einzubauen, sehen sie als gefährlich an. Auch verdächtige Schlagwörter wie "Passwort" sollten Apps ihrer Ansicht nach gar nicht erst abfragen können. 

Google und Amazon haben bereits reagiert. "Wir haben den betreffenden Skill umgehend blockiert und Schutzmaßnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. Skills werden abgelehnt oder entfernt, sobald ein solches Verhalten identifiziert wird", erklärte Amazon gegenüber dem stern. Auch Google betonte auf Anfrage, ein solches Verhalten von Anwendungen zu entdecken. "[E]ntsprechend haben wir die von den Forschern entwickelten Actions gelöscht. Wir setzen zusätzliche Mechanismen ein, um derartiges in Zukunft zu unterbinden.“

Für Google und Amazon könnte die Meldung kaum zu einem schlechteren Zeitpunkt kommen. Beide Hersteller setzen voll auf ihre Sprachassistenten, beide haben jüngst eine Reihe neuer Sprachlautsprecher vorgestellt. Amazon will Alexa sogar in einer Brille und einem Fingerring den Kunden dauerhaft auf den Weg geben. Erst im Frühling mussten sich die Konzerne gemeinsam mit Apple vorwerfen lassen, dass nicht nur Computer, sondern teilweise auch echte Menschen die privaten Aufzeichnungen der Nutzer anhören konnten. Amazon hatte zur Qualitätssicherung etwa laut einem "Welt"-Bericht deutsche Aufzeichnungen von polnischen Teilzeitarbeitern abhören lassen.

Quelle: SRLabs, Youtube, Google, Amazon