Alexa und Google Home: Neue Apps ermöglichen Phishing- und Lauschangriffe

Auf den sprachgesteuerten Smart Home-Plattformen Alexa und Google Home können Nutzer neu auch Apps von Drittanbietern installieren. Allerdings ist Vorsicht geboten: Über die Apps können nämlich Phishing-Angriffe lanciert oder heimlich Gespräche mitgehört werden.

Die sprachgesteuerten Smart Home-Plattformen Alexa und Google Home waren bereits früher mit Enthüllungen zu Sicherheitsproblemen konfrontiert. Nun haben Forscher des deutschen Security-Unternehmens Security Research Labs (SRLabs) eine weitere Sicherheitslücke festgestellt. Beide Plattformen sind nämlich anfällig für Lausch- und Phishing-Angriffe über Apps von Drittanbietern, die sich seit kurzem installieren lassen. Angreifer können Nutzer damit relativ einfach täuschen und sie beispielsweise dazu bringen, ihre Login-Angaben bekanntzugeben.

Die Ursache dafür liegt im Backend der Geräte: Eine bestimmte Zeichenfolge, die sich an verschiedenen Stellen im Backend einer Alex- oder Google-Home-App einfügen lässt, sorgt dafür, dass die Assistenten über längere Zeit still bleiben, ohne aber inaktiv zu werden.

Horoskop-App gibt Zugang zu System

Die aktuelle Sicherheitslücke bei Alexa und Google Home wurde von den beiden SRL-Forschern Luise Frerichs und Fabian Bräunlein mithilfe einer eigens entwickelten Horoskop-App nachgewiesen. Die App wurde mithilfe der erwähnten Zeichenfolge so programmiert, dass sie sich nach einer Interaktion mit dem Nutzer scheinbar ausschaltet, im Hintergrund jedoch weiterläuft. Anschliessend meldet Alexa bzw. Google Home dem Nutzer, es stünden Sicherheitsupdates bereit und fragt ihn um sein Passwort.

Auch zum Abhören von Nutzern lässt sich die Zeichenfolge verwenden. Wird sie eingefügt, nachdem eine schädliche App auf eine Spracheingabe des Opfers reagiert hat, bleibt die App aktiv, zeichnet alle weiteren Gespräche auf und leitet sie an den Server des Angreifers weiter. Einzig an der blauen Status-LED von Echo-Geräten von amazon bleibt erkennbar, dass die schädliche App durchgehend aktiv ist. Dies allerdings auch nur dann, wenn der betreffende Nutzer ausdrücklich darauf achtet.

App-Updates werden nicht kontrolliert

Auf dem Youtube-Kanal von Security Research Labs demonstrieren die Forscher, wie die Angriffe genau ablaufen. Möglich war ihnen die Einschleusung der schädlichen Apps nur deshalb, weil nach einer ersten Veröffentlichung einer App auf den Marktplätzen von Google und Amazon später nachgereichte Updates derselben App nicht kontrolliert werden.

Gegenüber ZDNet USA erklärten sie, die Sicherheitslücken seien den beiden Anbietern bereits vor Monaten gemeldet worden, dies jedoch ohne behoben zu werden. Ein Google-Sprecher sagte dem Online-Magazin dagegen, man habe die Lücken beseitigt.