ifun.de — Apple News seit 2001. 27 753 Artikel
Auch Google Assistant betroffen

Im Video: Bösartige Alexa-Skills sind möglich

34 Kommentare 34

Die Sicherheitsforscher der „Security Research Labs“ demonstrieren ihre Erkenntnisse in einem Blogeintrag und vier Demo-Videos. Die als sogenannte Skills bzw. Actions angebotenen Zusatzerweiterungen für die Sprach-Assistenzsysteme Alexa und Google Home lassen sich – mit der nötigen kriminelle Energie ausgestattet – so manipulieren, dass die Lautsprecher Passwörter abgreifen oder als temporäre „Wanze“ genutzt werden können.

Smart Spy

Im einem der geschilderten Szenarien ist es den in Berlin ansässigen SRLabs etwa gelungen, im Anschluss an die Skill-Ausführung gesprochene Worte zu transkribieren und diese zurück an die eigenen Server zu senden. Zwar müssen für die Angriffe zahlreiche Voraussetzungen erfüllt sein (der Nutzer muss den entsprechenden Skill installieren, aktivieren, nutzen und anschließend auch den daueraktiven LED-Ring ignorieren)grundsätzlich ist das Abhören nach dem gesprochenen „Stopp“-Kommando des Anwenders jedoch möglich.

Die eigentliche Erkenntnis der Security-Spezialisten: die von Privatanwendern bereitgestellten Skills werden zwar vor ihrer Freigabe auf den jeweiligen Plattformen geprüft, es kann jedoch nicht ausgeschlossen werden, dass die Erweiterungen auch zwielichtige Elemente enthalten. In einem Fall ließen die Forscher Alexa ein stummes Unicode-Zeichen als abschließende Grußformel sprechen, um auch nach Beendigung des Skills weiter aktiviert bleiben zu können.

Alexa und Google Home sind leistungsstarke und oft nützliche Geräte in privaten Umgebungen. Die Auswirkungen auf die Privatsphäre eines mit dem Internet verbundenen Mikrofons, sind jedoch weiterreichend als bisher angenommen. Die Benutzer müssen sich des Potenzials bösartiger Sprachapplikationen bewusst sein, die ihre intelligenten Lautsprecher missbrauchen. Die Verwendung einer neuen Sprachapplikation sollte mit ähnlicher Vorsicht wie die Installation einer neuen App auf Ihrem Smartphone behandelt werden.

Montag, 21. Okt 2019, 18:26 Uhr — Nicolas
34 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Deswegen gibt es so eine Funktion beim HomePod einfach nicht ^^

    • Und deswegen „kann“ der HomePod auch deutlich weniger.
      Ich nutze einen Zahnputz Skill, Geschichtenskill, Müllkalenderskill, Roombaskill usw
      Funktioniert schon ziemlich gut alles.

      • Ich glaube viel davon ließ sich auch anderes realisieren. Warum brauche ich für die Mülltonnen zum Beispiel eine App? Ich kann die Termine auch in meinen Kalender exportieren. Ein Staubsaugerroboter könnte mit HomeKit gekoppelt sein. Bisher habe ich noch keinen Alexa Skill gefunden der wirklich wichtig war

      • Diesen Müll kann ich mir schenken. Wozu braucht man einen Zahnputzskill. Das krieg ich auch allein hin. Smart Home und Musik in mega Qualität abspielen reicht mir da schon.

      • Und ich habe einen Gehirn „Skill“!

        Und darum stelle ich mir so einen Quatsch wie Alexa auch nicht ins Haus. Wenn ich mein Licht anmachen will stehe ich auf und mache das Licht an. Und wenn ich Kochen will gehe ich in die Küche, koche, trinke dabei einen schönen Rotwein… oder gibt es dafür auch einen Skill….

      • „Ich nutze einen Zahnputzskill“… was sich die Leute heutzutage getrauen im Internet zu veröffentlichen. Bei so einer Äußerung hätte ich Sorge dass ich morgen von 4 Typen in weißer Kleidung abgeholt werde.

      • Also ich hab selber nen Skill zum Zähneputzen, so alt bin ich noch nicht, dass mir da einer helfen muss.

      • An alle, die sich hier über den Zahnputz-Skill lustig machen:
        Wenn ihr Kinder habt, werdet ihr den Skill feiern. Wenn das Kind keine Lust aufs Zähneputzen hat, wirkt so ein Skill wunder, denn dann gibt es tolle Musik (meistens zum Thema Zähne) und wenn die zu Ende ist, dann ist man auch mit dem Putzen fertig.

        Mein Sohn (3) hat ab und zu mal keine Lust darauf, aber mit dem Skill putzt er sogar länger als ohne.

      • Micha, das sind dann auch die Leute die den Kindern das iPhone in die Hand geben, damit sie beschäftigt sind. Wie wäre es denn, einfach zusammen mit den Kindern Zähne zu putzen? Klar kann das jeder selbst entscheiden, aber ich finde es traurig wenn Eltern „technische Unterstützung“ für den Umgang mit ihren Kindern brauchen.

      • @iGon: Ganz davon ab, dass ich ein so kleines Kind das niemals allein machen lassen würde, ist das nicht so einfach.

        Er darf sich selbst allein unter Aufsicht die Zähne putzen, er kann mit uns zusammen die Zähne putzen, er kann die Zähne von uns geputzt bekommen, er kann Kuscheltiere zusehen lassen, er kann davor oder danach Kuscheltieren auch die Zähne putzen, usw.
        Jede dieser Sachen wahlweise mit oder ohne Sanduhr für die Anzeige der Restdauer.

        All das wurde probiert und wird auch querbeet bei jedem Zähneputzen gemacht. Trotzdem gibt es Momente, in denen all das doof ist und in denen dann der Skill gewinnt.

      • Und was macht Ihr wenn er mal bei Freunden übernachtet oder auf Klassenfahrt ist ?
        Brauchen die Lehrer denn auch einen Zähneputzskill?

      • Alexa lauft auch auf dem iPhone App..

    • Deswegen kauf ich den dummen HomePod auch nicht

  • „Die Auswirkungen auf die Privatsphäre eines mit dem Internet verbundenen Mikrofons, sind jedoch weiterreichend als bisher angenommen.“

    Ich lach mich tot. Als ob das wirklich so dermaßen abwegig war und keiner das erwartet hat.

    • Ein Smartphone hat auch Mikrofone und ist mit dem Internet verbunden. Könnte da also auch dafür missbraucht werden.

      • Ja, richtig. Aber deshalb darf man trotzdem auch auf andere Problemquellen hinweisen. Dazu kommt, dass ein Smartphone zumindest immensen Nutzen im Alltag hat, da steht das Risiko in einem einigermaßen sinnvollen Verhältnis. Ein Echo hat einen Realistischen Mehrwert, für den man echt erst mal lange überlegen muss, bevor man ihn überhaupt findet.

    • Zumindest abwegig genug, dass die Dinger immer noch gekauft werden!

  • Deswegen nutze ich diese Teile erst gar nicht. Ich stehe eben auf und drücke noch das eine oder andere Knöpfchen. Ich weiß das ist asozial, aber ich kann damit leben.

  • Ich finde diese Szenarien nicht realistisch. Ich lege meine EC Karte mit Pin auch nicht neben den Geldautomat.

  • Ja, finde ich auch etwas realitätsfremd. „Hey Alexa, wie spät ist es?… ach übrigens meine Kontonummer ist „…“ ACH: und meine PIN: „…“

    Zumal der böse Skill zuvor meine Aufmerksamkeit bekommen musste, um installiert zu werden.

    • Du solltest nicht von dir oder mir ausgehen, die wir hier regelmäßig lesen. Wenn Lieschen und Mäxchen Müller eine Anleitung zur Installation eines superduper Skills bekommen, wird Lieschen vielleicht misstrauisch werden, während Mäxchen alles ein- und preisgibt, was superduper verspricht.

      Im Übrigen war es doch eine Frage der Zeit, bis Leute „smarte“ Heim-Utensilien ins Visier nehmen würden. Das wird noch lustig, wenn die ersten Generationen mit EOL-Status keine Sicherheitsupdates mehr erhalten…

  • Alleine diese Produkte zu benutzen….aber viele wollen billig und kaufen es sich, unfassbar

  • Das ist das erstmal, dass ich mit der journalistischen Sorgfalt von ifun unzufrieden bin:

    Erstens wird zwar erwähnt, dass die optische Anzeige, der leuchtende Ring, dann nach dem Stopp-Kommando anbleibt, allerdings wird die Bedeutung dieses Umstandes nur in Klammern erwähnt . Es fällt sofort auf, wenn der Ring anbleibt.

    Zum zweiten ist das Problem wohl bereits beseitigt! Die Süddeutsche schreibt dazu:

    Amazon und Google erklärten, dass sie die Schadprogramme der Forscher entfernt hätten. Solche Software verstoße klar gegen die Richtlinien. Beide Firmen bestätigten auch, zusätzliche Schutzmechanismen eingebaut zu haben – welche das sind, wollten sie allerdings im Detail nicht erklären. Ein Amazon-Sprecher erklärte, dass man inzwischen Maßnahmen eingeführt habe, die verhindern, dass Echo nach einem Passwort fragen kann.

    Sicherheitsforscher Thorsten Holz glaubt nicht, dass die Schwachstellen bereits im „großen Stil durch Angreifer ausgenutzt wurden“. Allerdings hält er es trotzdem für problematisch, „dass so ein Angriff in der Praxis klappt und die Systeme von Google und Amazon das nicht bemerkt haben“.

    • Danke für die Kritik, ist notiert.
      Ich werfe kurz eine Kleinigkeit zu folgendem Satz aus dem Quote ein: „Amazon und Google erklärten, dass sie die Schadprogramme der Forscher entfernt hätten.“.
      Diesen finde ich nämlich etwas irreführend, da klar ist, dass es sich hier um ein PoC und nicht um ein „Schadprogramm“ gehandelt hat. Zudem wurde dieses nach responsible disclosure durch die Autoren entfernt.
      Ich gehe davon aus, dass es zum Chaos Communication Kongress noch mehr Details geben wird.

    • Und du meinst, das Licht schützt ernsthaft deine Privatsphäre?

  • Es gibt genügend gehandicapte Leute die sich glücklich schätzen, dass es Sprachsteuerung gibt, weil sie z, B. krank so, schlecht laufen können usw.

  • Der HomePod hat diese Probleme nicht… Weil der HomePod nichts anderes ist als eine teure Mülltonne, mit der man nix anfangen kann

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 27753 Artikel in den vergangenen 6732 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2020 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven