Aus smarten Lautsprechern werden smarte Spione: Sicherheitsforschern ist es gelungen, sowohl Amazons Alexa als auch den Google Assistant mit Erweiterungen zu kompromittieren. Die Sprachassistenten ließen sich so zum Abhören der Nutzer einsetzen, auch Passwörter konnten abgefragt werden.


Keine geschlossenen Systeme
Die Forscher machten sich dabei zunutze, dass die Smartspeaker des Online-Händlers und des Suchmaschinen-Konzerns keine geschlossenen Systeme sind. Im Unterschied zu Apples HomePod können sie durch Apps erweitert werden. Die bei Amazon "Skills" und bei Google "Actions" genannten Mini-Anwendungen erlauben Drittherstellern unter anderem die Steuerung von Geräten mit Hilfe der Sprachassistenten. Allerdings eröffnen sie Hackern und Kriminellen offenbar auch die Möglichkeit, diese für ihre Zwecke auszunutzen.

Mikrofone trotz Stille weiterhin aktiv
Um das zu demonstrieren, programmierten Luise Frerichs und Fabian Bräunlein von den in Berlin ansässigen Security Researach Labs (SRLabs) acht Horoskop-Apps und reichten sie bei Amazon und Google ein. Um die Nutzer abzuhören, nutzten sie einen simplen Trick, der durch eine Schwachstelle von Alexa und Google Assistant ermöglicht wird: Nach der Ausgabe des jeweiligen Tageshoroskops fügten sie eine lange Sprachpause ein, während derer die Mikrofone der Geräte aktiv blieben und weiterhin aufzeichneten.

Aufforderung zur Passwortpreisgabe
Nach der Pause spielten die Apps dann eine Nachricht ab, in der die Nutzer auf ein anstehendes Softwareupdate hingewiesen und zum Buchstabieren ihres Passworts aufgefordert wurden. Dieses wurde dann aufgezeichnet und an den Server der Sicherheitsforscher geschickt. Frerichs und Bräunlein betonen, dass es mit dieser Methode auch möglich sei, an beliebige weitere Informationen zu gelangen, etwa die E-Mail-Adressen der Accounts bei Amazon und Google.

Apps wurden mittlerweile entfernt
Die böswilligen Apps fielen zunächst weder Amazon noch Google bei den Sicherheitsprüfungen auf. Beide Unternehmen entfernten diese erst, nachdem sie von den Sicherheitsforschern selbst darauf hingewiesen worden waren. Online-Händler und Suchmaschinen-Konzern teilten Frerichs und Bräunlein zudem mit, sie hätten nunmehr entsprechende Vorkehrungen getroffen, derartige böswillige Erweiterungen würden in Zukunft nicht mehr akzeptiert.

Anwender können sich schützen
Nutzer der smarten Lautsprecher von Amazon und Google können sich allerdings auf relativ einfache Weise vor böswilligen Erweiterungen schützen, welche die Methoden der Berliner Sicherheitsforscher ausnutzen. Die Geräte weisen stets mit deutlich sichtbaren Lichtsignalen darauf hin, dass die Mikrofone aktiv sind und aufgezeichnet wird; diese Funktion lässt sich nicht durch eine App ausschalten. Darüber hinaus fragen Amazon und Google niemals Passwörter direkt auf den smarten Lautsprechern ab, sie müssen stets in der zugehörigen Smartphone-App eingegeben werden. Updates der Geräte erfolgen zudem in aller Regel automatisch ohne jegliche Benachrichtigung des Nutzers. Besitzer eines HomePod sind ohnehin nicht betroffen, da Apples Smartspeaker keine Erweiterungen von Drittanbietern unterstützt.