Voice Phishing mit Amazons Alexa

Voice Phishing mit Amazons AlexaWenn Alexa Sie plötzlich nach ihrem Passwort fragt, sollten alle Alarmglocken schrillen – auch wenn es dabei angeblich um  das Installieren von Sicherheitsupdates oder andere wichtige Maßnahmen geht. In aller Regel handelt es sich dabei nämlich ziemlich sicher um einen Phishing-Angriff, wie ihn Forscher gerade vorgeführt haben.

Öffnung der Smarthomes für fremde Apps

Voice Phishing mit Amazons AlexaDie Assistenten-Betreiber Google und Amazon haben inzwischen ihre sprachgesteuerten Smarthome-Plattformen für Apps von externen Anbietern geöffnet. Wer solche Apps installiert, kann sich aber damit ähnliche Probleme einhandeln wie auf dem Computer oder dem Smartphone: Die App könnte nämlich einen Phishing-Angriff durchführen oder einfach nur den Benutzer heimlich belauschen.

Die Berliner Sicherheitsforscher Luise Frerichs und Fabian Bräunlein von den SRLabs haben das  für Alexa und Google Home vorgeführt: Ihre als Horoskop getarnte App („Alexa, gib mir mein Horoskop für heute!“) schließt sich nach einer Interaktion mit dem Nutzer nicht wirklich, sondern läuft im Hintergrund einfach weiter.

Etwas später meldet die sprechende Smarthome-Zentrale dann aus eigenem Antrieb, dass wichtige Sicherheitsupdates bereit stünden und der Anwender jetzt sein Passwort zur Installation eingeben müsse.

Weil man das von Smartphones und PCs gewohnt ist, wird so mancher der Aufforderung nachkommen und damit unwissend sein Passwort an den Hersteller der App weitergeben. Es gibt auch noch eine andere Gefahr: Wenn die fremde Schad-App unbemerkt im Hintergrund weiterläuft, kann sie natürlich auch den Benutzer belauschen und Gesprächsinhalte an die Server seines Hersteller senden, warnen die beidenForscher.

Die Berliner Forscher geben mit ihren Smart Spies Beispiele für Probleme, die wohl schon bald real auf uns zukommen werden, denn mit der Beliebtheit solcher Voice-Apps wächst auch das Interesse von Kriminellen.

Deshalb stehen die Plattform-Betreiber in der Verantwortung, bessere Maßnahmen zu ergreifen, um den Missbrauch ihrer Sprachassistenten zu verhindern. Aktuell führen sie zwar vor der Freigabe der Apps ein Review durch, aber das reicht offensichtlich nicht aus.

Denn die beiden Forscher von SRLabs legten zunächst eine saubere Version vor und installierten die Spionagefunktionen erst danach per Update nach, welches dabei offenbar nicht mehr geprüft wurde…


wallpaper-1019588
The Postie präsentiert: FIBEL erweitern ihre „Kommissar“-Tour durch Deutschland
wallpaper-1019588
Stielmus, Linsen und Huhn
wallpaper-1019588
Sword Art Online geht bald weiter
wallpaper-1019588
Upgrade - einer der Top Filme im neuen Jahr
wallpaper-1019588
Football Manager 2020 ab sofort auf Stadia und PC erhältlich
wallpaper-1019588
Erste Black Friday Angebote für Games sind online
wallpaper-1019588
Panasonic LumixG Leica Vario-Elmar 100–400mm Zoom – staubdicht ist nicht staubdicht!
wallpaper-1019588
Allianz Arena: Die Heimarena des deutschen Rekordmeisters FC Bayern führt Apple Pay ein