Wenn Alexa Sie plötzlich nach ihrem Passwort fragt, sollten alle Alarmglocken schrillen – auch wenn es dabei angeblich um das Installieren von Sicherheitsupdates oder andere wichtige Maßnahmen geht. In aller Regel handelt es sich dabei nämlich ziemlich sicher um einen Phishing-Angriff, wie ihn Forscher gerade vorgeführt haben.
Öffnung der Smarthomes für fremde Apps
Die Assistenten-Betreiber Google und Amazon haben inzwischen ihre sprachgesteuerten Smarthome-Plattformen für Apps von externen Anbietern geöffnet. Wer solche Apps installiert, kann sich aber damit ähnliche Probleme einhandeln wie auf dem Computer oder dem Smartphone: Die App könnte nämlich einen Phishing-Angriff durchführen oder einfach nur den Benutzer heimlich belauschen.
Die Berliner Sicherheitsforscher Luise Frerichs und Fabian Bräunlein von den SRLabs haben das für Alexa und Google Home vorgeführt: Ihre als Horoskop getarnte App („Alexa, gib mir mein Horoskop für heute!“) schließt sich nach einer Interaktion mit dem Nutzer nicht wirklich, sondern läuft im Hintergrund einfach weiter.
Etwas später meldet die sprechende Smarthome-Zentrale dann aus eigenem Antrieb, dass wichtige Sicherheitsupdates bereit stünden und der Anwender jetzt sein Passwort zur Installation eingeben müsse.
Weil man das von Smartphones und PCs gewohnt ist, wird so mancher der Aufforderung nachkommen und damit unwissend sein Passwort an den Hersteller der App weitergeben. Es gibt auch noch eine andere Gefahr: Wenn die fremde Schad-App unbemerkt im Hintergrund weiterläuft, kann sie natürlich auch den Benutzer belauschen und Gesprächsinhalte an die Server seines Hersteller senden, warnen die beidenForscher.
Plattform-Betreiber müssen Missbrauch verhindern
Die Berliner Forscher geben mit ihren Smart Spies Beispiele für Probleme, die wohl schon bald real auf uns zukommen werden, denn mit der Beliebtheit solcher Voice-Apps wächst auch das Interesse von Kriminellen.
Deshalb stehen die Plattform-Betreiber in der Verantwortung, bessere Maßnahmen zu ergreifen, um den Missbrauch ihrer Sprachassistenten zu verhindern. Aktuell führen sie zwar vor der Freigabe der Apps ein Review durch, aber das reicht offensichtlich nicht aus.
Denn die beiden Forscher von SRLabs legten zunächst eine saubere Version vor und installierten die Spionagefunktionen erst danach per Update nach, welches dabei offenbar nicht mehr geprüft wurde…
