Forscher zeigen Phishing-Angriff über Alexa und Google Home

21. Oktober 2019, 14:47
  • security
image

Die smarten Assistenten von Google und Alexa bieten Zugriff auf Informationen über Sprachbefehle.

Die smarten Assistenten von Google und Alexa bieten Zugriff auf Informationen über Sprachbefehle. Auch Drittanbieter können Apps über die Assistenten anbieten: Bei Amazons Alexa heissen diese Skills und bei Google Home sind es Actions. Diese Dritt-Apps können ausgenutzt werden, um die User zu belauschen oder sie gar dazu zu bringen, ihre Passwörter zu verraten. Dies haben Security-Forscher des Berliner Security Research Labs (SRLabs) gezeigt.
Dabei ist es den Forschern auch gelungen, die Sicherheitskontrollen von Amazon und Google zu umgehen, wie sie in einem Blogeintrag schreiben. Sie haben Skills und Actions bei Amazon und Google eingereicht und freischalten lassen. Nach den Sicherheitskontrollen konnten die Forscher die Apps verändern, ohne dass diese erneut einem Review unterzogen worden seien.
Vermeintliches "Goodbye"
Um die Anwender abzuhören, haben die Forscher eine vermeintlich harmlose Horoskop-App entwickelt. Auf einen Befehl hin fragt der Lautsprecher nach dem Sternzeichen und liest dann das entsprechende Horoskop vor. Nutzer können dies mit dem Befehl "Alexa, Stopp" abbrechen, woraufhin die App sich mit einem "Goodbye" verabschiedet.
Nach dem Security-Review aber konnten die Forscher die Befehle so verändern, dass Alexa zwar "Goodbye" sage, aber dennoch für eine gewisse Zeit aktiv bleibe. Anschliessend zeichnet das Gerät das Audio ohne Wissen des Users auf womit unter Umständen sensible und persönliche Informationen in unbekannte Hände gelangen könnten.
Mittels "Voice Phishing" an Passwörter gelangen
Im gleichen Blogeintrag beschreiben die Forscher, wie sie mit einem ähnlichen Mechanismus die Skills der smarten Lautsprecher für Phishing nutzen. Sie nennen dies "Voice Phishing" oder "Vishing". Dabei interagiert der User wieder mit einer scheinbar harmlosen Applikation. Statt einer Antwort aber erhält er anschliessend die vermeintliche Fehlermeldung: "Dies ist in ihrem Land derzeit nicht verfügbar".
Anschliessend glaubt der User, dass das Gerät inaktiv ist. Im Hintergrund aber läuft die Applikation für eine Minute schweigend weiter. Später meldet sich Google Home beim User mit einem Hinweis, es sei ein Update für das Gerät verfügbar. Der User wird aufgefordert, dieses mit "Start" gefolgt vom Passwort zu bestätigten. Hört das Gerät das User-Passwort, wird dies mit dem Hinweis bestätigt, dass das Update in Kürze beginne; doch werden diese Informationen an die Hacker weitergeleitet.
Die Forscher wiesen in einem Video darauf hin, dass zwar weder Google noch Amazon auf solche Weise nach Passwörtern fragt, aber Usern dies – wie bei anderen Phishing-Methoden – häufig nicht bewusst sei. Die smarten Assistenten könnten auch manipuliert werden, um an Kreditkarteninformationen, E-Mail-Adressen oder andere Informationen zu gelangen.
Wie in den Videos zu sehen ist, signalisieren die Geräte ihren Aktiv-Status jeweils mit LED-Lichtern. Nutzern könnte somit auffallen, dass die Geräte noch aktiv zuhören beziehungsweise die Sprachübertragung noch läuft.
Google liess auf Anfrage des 'Spiegels' verlauten, dass man jede Action, die gegen die Richtlinien verstosse, untersage und entferne. "Wir setzen zusätzliche Mechanismen ein, um derartiges in Zukunft zu unterbinden", so Google. Von Seiten Amazon tönt es ähnlich: "Wir haben Schutzmassnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. Skills werden abgelehnt oder entfernt, sobald ein solches Verhalten identifiziert wird", so Amazon weiter. (kjo)

Loading

Mehr zum Thema

image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022
image

Cisco bestätigt Cyberangriff

Der Angriff fand bereits im Mai statt, die Cyberkriminellen haben jetzt angeblich erbeutete Daten veröffentlicht. Cisco schildert den Ablauf detailliert.

publiziert am 11.8.2022
image

Branchen-Grössen schaffen gemeinsamen Standard für Security-Lösungen

AWS, Splunk und weitere grosse Anbieter von Security-Software kooperieren, um die Integration von Lösungen zu vereinfachen und Datensilos aufzubrechen.

publiziert am 11.8.2022
image

Chaos Computer Club hackt Verfahren zur Videoidentifikation

Laut CCC ist die Video-Identifizierung ein "Totalausfall". Als Konsequenz des Berichts wurde in Deutschland der Zugang zur E-Patientenakte mittels Video-Ident gestoppt.

publiziert am 10.8.2022