Im Video: Bösartige Alexa-Skills sind möglich

Die Sicherheitsforscher der „Security Research Labs“ demonstrieren ihre Erkenntnisse in einem Blogeintrag und vier Demo-Videos. Die als sogenannte Skills bzw. Actions angebotenen Zusatzerweiterungen für die Sprach-Assistenzsysteme Alexa und Google Home lassen sich – mit der nötigen kriminelle Energie ausgestattet – so manipulieren, dass die Lautsprecher Passwörter abgreifen oder als temporäre „Wanze“ genutzt werden können.

Im einem der geschilderten Szenarien ist es den in Berlin ansässigen SRLabs etwa gelungen, im Anschluss an die Skill-Ausführung gesprochene Worte zu transkribieren und diese zurück an die eigenen Server zu senden. Zwar müssen für die Angriffe zahlreiche Voraussetzungen erfüllt sein (der Nutzer muss den entsprechenden Skill installieren, aktivieren, nutzen und anschließend auch den daueraktiven LED-Ring ignorieren)grundsätzlich ist das Abhören nach dem gesprochenen „Stopp“-Kommando des Anwenders jedoch möglich.

Die eigentliche Erkenntnis der Security-Spezialisten: die von Privatanwendern bereitgestellten Skills werden zwar vor ihrer Freigabe auf den jeweiligen Plattformen geprüft, es kann jedoch nicht ausgeschlossen werden, dass die Erweiterungen auch zwielichtige Elemente enthalten. In einem Fall ließen die Forscher Alexa ein stummes Unicode-Zeichen als abschließende Grußformel sprechen, um auch nach Beendigung des Skills weiter aktiviert bleiben zu können.

Alexa und Google Home sind leistungsstarke und oft nützliche Geräte in privaten Umgebungen. Die Auswirkungen auf die Privatsphäre eines mit dem Internet verbundenen Mikrofons, sind jedoch weiterreichend als bisher angenommen. Die Benutzer müssen sich des Potenzials bösartiger Sprachapplikationen bewusst sein, die ihre intelligenten Lautsprecher missbrauchen. Die Verwendung einer neuen Sprachapplikation sollte mit ähnlicher Vorsicht wie die Installation einer neuen App auf Ihrem Smartphone behandelt werden.