Öffnung der Smarthomes für fremde Apps
Die Berliner Sicherheitsforscher Luise Frerichs und Fabian Bräunlein von den SRLabs haben das für Alexa und Google Home vorgeführt: Ihre als Horoskop getarnte App („Alexa, gib mir mein Horoskop für heute!“) schließt sich nach einer Interaktion mit dem Nutzer nicht wirklich, sondern läuft im Hintergrund einfach weiter.
Etwas später meldet die sprechende Smarthome-Zentrale dann aus eigenem Antrieb, dass wichtige Sicherheitsupdates bereit stünden und der Anwender jetzt sein Passwort zur Installation eingeben müsse.
Weil man das von Smartphones und PCs gewohnt ist, wird so mancher der Aufforderung nachkommen und damit unwissend sein Passwort an den Hersteller der App weitergeben. Es gibt auch noch eine andere Gefahr: Wenn die fremde Schad-App unbemerkt im Hintergrund weiterläuft, kann sie natürlich auch den Benutzer belauschen und Gesprächsinhalte an die Server seines Hersteller senden, warnen die beidenForscher.
Plattform-Betreiber müssen Missbrauch verhindern
Die Berliner Forscher geben mit ihren Smart Spies Beispiele für Probleme, die wohl schon bald real auf uns zukommen werden, denn mit der Beliebtheit solcher Voice-Apps wächst auch das Interesse von Kriminellen.
Deshalb stehen die Plattform-Betreiber in der Verantwortung, bessere Maßnahmen zu ergreifen, um den Missbrauch ihrer Sprachassistenten zu verhindern. Aktuell führen sie zwar vor der Freigabe der Apps ein Review durch, aber das reicht offensichtlich nicht aus.
Denn die beiden Forscher von SRLabs legten zunächst eine saubere Version vor und installierten die Spionagefunktionen erst danach per Update nach, welches dabei offenbar nicht mehr geprüft wurde…