Alexa, hörst Du noch oder phishst Du schon?

Alexa kann Sicherheitslücken für Phishing-Angriffe nutzen
Seit einigen Jahren erobern sogenannte Smart Speaker unser Zuhause. Sie sollen uns den Alltag erleichtern, indem sie auf Zuruf die Lieblingsmusik spielen, Rezepte vorlesen oder digitale Einkaufslisten pflegen. Aber was hören die Geräte mit, wenn sie eigentlich nicht hören sollten?

Die Zahlen sprechen für sich: Weltweit hat Amazon mehr als 100 Millionen Echos verkauft. Die Zahlen für den Google Home Assistant dürften ähnlich hoch liegen. Das heißt, auch in hunderttausenden deutschen Haushalten stehen solche Lautsprecher, Tendenz steigend. Im Frühjahr 2019  gerieten die Geräte in den Fokus, als bekannt wurde, dass nicht nur Maschinen im Hintergrund mithören sondern auch Menschen. Zwar wurde sowohl bei Amazon und Google bei den Datenschutz-Einstellungen nachgebessert, aber es bleibt die Frage wie sicher die Geräte tatsächlich sind.

Gibt es ein Risiko für Phishing-Angriffe bei Smart Speakern?

Die Gefahr eventuell abgehört zu werden ist das Eine. Da argumentieren viele Nutzer mit: „Ich hab‘ ja nix zu verbergen!“ Wie sieht es aber mit Phishing-Angriffen aus? Wenn Alexa oder Siri nach Passwörtern fragen, um Zugang zu diversen Nutzerkonten zu haben? Kann einem Nutzer das passieren, ohne dass er es bewusst als Angriff wahrnimmt?
Diese Frage haben sich auch Berliner Sicherheitsforscher von SR Labs gestellt mit dem Ergebnis, dass es Cyber-Kriminellen durchaus ohne viel Aufwand möglich wäre, solche Daten auszuspionieren. Die Forscher nutzten dazu sogenannte Skills bzw. Actions, mit denen die Geräte ihre Fähigkeiten erweitern können. Angeboten werden diese oft über Drittanbieter und hier wurde die erste Schwachstelle entdeckt. Denn Amazon und Google prüfen zwar bei der Zulassung der Skills oder Actions, ob eventuelle Schadware enthalten ist, aber nicht bei weiteren Updates. Ist das Programm also einmal auf der Plattform, können über Updates Schadcodes nachgeladen werden. Im genauen Versuch wurde ein Programm installiert, welches auf die Aktivierung mit „Diese Action ist in deinem Land nicht verfügbar“, antwortet. Dies ist eine Lüge und statt sich auszuschalten, läuft es im Hintergrund weiter. Dazu wurde es so programmiert, dass es einen Wirrwarr aus Unicode-Zeichen vorliest. Das hört man nicht, da der Lautsprecher diesen nicht aussprechen kann. Nach einer gewissen Zeit wird man dann aufgefordert „Start“ und sein Passwort zu nennen, da ein neues Update heruntergeladen werden kann.

Auch wenn dieses Vorgehen nur als sogenanntes White-Hat-Hacking durchgeführt wurde und keine Personen wirklich aufgefordert wurden das Passwort zu verraten, zeigt es doch deutlich, dass mit relativ wenig Aufwand ein solches Szenario von Kriminellen durchaus genutzt werden könnte, um dann über das Nutzerkonto zum Beispiel Bestellungen zu tätigen. Hat man dann bei Amazon seine Zahlungsdaten hinterlegt und noch nicht die Zwei-Faktor-Authentifizierung aktiviert, kann man in einen erheblichen finanziellen Schaden laufen.

Die folgenden drei Tipps sind einfach umzusetzen und tragen dazu bei eure Security Awareness zu verbessern:

Wie kann mich vor möglichen Hackerangriffen über Smart Speaker schützen?

  1. Leuchtet die LED des Smart Speaker? Wenn ja, ist das Gerät eingeschaltet und im „Lauschmodus“.
  2. Amazon und Google fragen nie über den Smart Speaker nach Passwörtern. Wird man also danach gefragt handelt es sich mit sehr großer Wahrscheinlichkeit um einen Hackerangriff.
  3. Als Nutzer sollte man immer genau auf den/die Entwickler hinter den Programmen achten. Durch eine kurze Online-Recherche mit den Namen der Programme ist dies meist in wenigen Sekunden erledigt.