Forscher zeigen Phishing-Angriff über Alexa und Google Home

21. Oktober 2019, 14:47
  • security
image

Die smarten Assistenten von Google und Alexa bieten Zugriff auf Informationen über Sprachbefehle.

Die smarten Assistenten von Google und Alexa bieten Zugriff auf Informationen über Sprachbefehle. Auch Drittanbieter können Apps über die Assistenten anbieten: Bei Amazons Alexa heissen diese Skills und bei Google Home sind es Actions. Diese Dritt-Apps können ausgenutzt werden, um die User zu belauschen oder sie gar dazu zu bringen, ihre Passwörter zu verraten. Dies haben Security-Forscher des Berliner Security Research Labs (SRLabs) gezeigt.
Dabei ist es den Forschern auch gelungen, die Sicherheitskontrollen von Amazon und Google zu umgehen, wie sie in einem Blogeintrag schreiben. Sie haben Skills und Actions bei Amazon und Google eingereicht und freischalten lassen. Nach den Sicherheitskontrollen konnten die Forscher die Apps verändern, ohne dass diese erneut einem Review unterzogen worden seien.
Vermeintliches "Goodbye"
Um die Anwender abzuhören, haben die Forscher eine vermeintlich harmlose Horoskop-App entwickelt. Auf einen Befehl hin fragt der Lautsprecher nach dem Sternzeichen und liest dann das entsprechende Horoskop vor. Nutzer können dies mit dem Befehl "Alexa, Stopp" abbrechen, woraufhin die App sich mit einem "Goodbye" verabschiedet.
Nach dem Security-Review aber konnten die Forscher die Befehle so verändern, dass Alexa zwar "Goodbye" sage, aber dennoch für eine gewisse Zeit aktiv bleibe. Anschliessend zeichnet das Gerät das Audio ohne Wissen des Users auf womit unter Umständen sensible und persönliche Informationen in unbekannte Hände gelangen könnten.
Mittels "Voice Phishing" an Passwörter gelangen
Im gleichen Blogeintrag beschreiben die Forscher, wie sie mit einem ähnlichen Mechanismus die Skills der smarten Lautsprecher für Phishing nutzen. Sie nennen dies "Voice Phishing" oder "Vishing". Dabei interagiert der User wieder mit einer scheinbar harmlosen Applikation. Statt einer Antwort aber erhält er anschliessend die vermeintliche Fehlermeldung: "Dies ist in ihrem Land derzeit nicht verfügbar".
Anschliessend glaubt der User, dass das Gerät inaktiv ist. Im Hintergrund aber läuft die Applikation für eine Minute schweigend weiter. Später meldet sich Google Home beim User mit einem Hinweis, es sei ein Update für das Gerät verfügbar. Der User wird aufgefordert, dieses mit "Start" gefolgt vom Passwort zu bestätigten. Hört das Gerät das User-Passwort, wird dies mit dem Hinweis bestätigt, dass das Update in Kürze beginne; doch werden diese Informationen an die Hacker weitergeleitet.
Die Forscher wiesen in einem Video darauf hin, dass zwar weder Google noch Amazon auf solche Weise nach Passwörtern fragt, aber Usern dies – wie bei anderen Phishing-Methoden – häufig nicht bewusst sei. Die smarten Assistenten könnten auch manipuliert werden, um an Kreditkarteninformationen, E-Mail-Adressen oder andere Informationen zu gelangen.
Wie in den Videos zu sehen ist, signalisieren die Geräte ihren Aktiv-Status jeweils mit LED-Lichtern. Nutzern könnte somit auffallen, dass die Geräte noch aktiv zuhören beziehungsweise die Sprachübertragung noch läuft.
Google liess auf Anfrage des 'Spiegels' verlauten, dass man jede Action, die gegen die Richtlinien verstosse, untersage und entferne. "Wir setzen zusätzliche Mechanismen ein, um derartiges in Zukunft zu unterbinden", so Google. Von Seiten Amazon tönt es ähnlich: "Wir haben Schutzmassnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. Skills werden abgelehnt oder entfernt, sobald ein solches Verhalten identifiziert wird", so Amazon weiter. (kjo)

Loading

Mehr zum Thema

image

Trend Micro: 88% der Schweizer Unternehmen von Cyberangriffen betroffen

Die Wahrscheinlichkeit für einen Angriff auf ein Unternehmen wird immer grösser und die Bedrohungslage immer unübersichtlicher.

publiziert am 21.11.2022
image

Emil-Frey-Angreifer erpressten weltweit 100 Millionen Dollar

FBI und CISA haben einen Bericht zur Ransomware-Bande Hive veröffentlicht. Emil Frey bezahlte wohl nicht, doch viele andere Opfer taten es.

publiziert am 18.11.2022
image

IT-Problem: Kriminelle bestehlen St. Galler Kantonalbank

Beim Ostschweizer Institut konnte ein Konto stark überzogen werden. Der Grund war laut SGKB eine "sehr spezifische Latenz".

publiziert am 18.11.2022
image

Schweizer Polizei verhaftet berüchtigten Cyberbanden-Chef

"Jabberzeus"-Anführer Vyacheslav "Tank" Penchukov wurde in Genf verhaftet. Schweizer Behörden wollen ihn nun an die USA ausliefern.

publiziert am 17.11.2022 3