Google Home und Amazon Alexa: So machen Kriminelle Lautsprecher zu Wanzen

Vernetzte Lautsprecher mit Amazon Alexa oder dem Google Assistant werden immer beliebter. Doch Kriminelle können die Geräte mithilfe von betrügerischen Apps kapern und Nutzer belauschen. Zwei Berliner Hacker haben es vorgemacht.

Eigentlich sollen Sprachassistenten wie Amazon Alexa und Google Assistant nur auf ein Signalwort hin aktiv werden und die Stimme des Benutzers aufnehmen. Doch wie ein Forscherteam aus Berlin belegt hat, können die Geräte auch missbraucht werden, um Nutzer heimlich zu belauschen. Dazu müssen die Angreifer den Besitzer nur dazu bringen, eine manipulierte Zusatzsoftware zu installieren – bei Amazon Alexa heißen solche Programme "Skills", bei Google Home heißen sie "Actions".

Ähnlich wie bei Apps für Smartphone und Tablets kann jeder solche Skills oder Actions entwickeln und über die Plattformen wie Google Home oder Alexa anbieten. Kriminelle könnten diese neue Offenheit missbrauchen, um schädliche und betrügerische Sprach-Apps auf die Geräte zu schleusen, warnen die Experten.

Falsche Horoskop-App für Alexa

Das Problem kennt man bereits aus den App Stores wie Google Play: Auch hier tauchen regelmäßig betrügerische Programme auf, die den Nutzer ausspionieren oder Smartphones mit Malware infizieren. So etwas dürfte eigentlich nicht passieren – schließlich wird jede App geprüft, bevor sie im App Store erscheinen darf. Trotzdem gelingt es Kriminellen immer wieder, ihre schadhaften Programme an den Sicherheitskontrollen vorbei in die App Stores zu schleusen, wo sie dann von gutgläubigen Nutzern heruntergeladen werden.

Ein ähnliches Schicksal droht auch den Sprachanwendungen für die digitalen Assistenten von Google und Amazon, warnen die Sicherheitsforscher Luise Frerichs und Fabian Bräunlein von SRLabs aus Berlin. Und sie haben es vorgeführt: Für Amazon Alexa programmierten sie beispielsweise eine als harmlose Horoskop-App getarnte Software, die den Nutzer heimlich belauschen kann.

Nur die LED-Leuchten verraten den Lauschangriff

Dazu gibt die App durch einen Abschiedsgruß und einen Signalton vor, dass die Sprachaufnahme deaktiviert sei, nachdem der Nutzer die Anwendung durch den Befehl "Stop" vermeintlich beendet hat. In Wirklichkeit läuft das Programm im Hintergrund weiter und kann den Nutzer abhören. Eine ähnliche Spionagesoftware entwickelten die Forscher für Google Actions, nur tarnten sie diese als Zufallszahlengenerator. Damit aufgezeichnete Gespräche gut verständlich sind, müssten sie aber in direkter Nähe des Lautsprechers stattfinden.

Nutzer könnten in beiden Fällen zwar an den LED-Leuchten ihrer Lautsprecher erkennen, dass die Mikrofone immer noch aktiv sind und auf eine Spracheingabe warten. Doch nicht jeder weiß die Zeichen zu deuten oder achtet auf die Leuchtanzeige auf dem Lautsprecher. Woran Sie bei einem Amazon-Echo-Lautsprecher erkennen, dass er gerade Ihre Stimme auf Servern verarbeitet, erfahren Sie hier.

In einem anderen Szenario produzierten die manipulierten Apps lauter Fehlermeldungen und behaupteten anschließend, dass ein Sicherheits-Update notwendig sei. Doch das ist nur ein Vorwand, um den Nutzer nach seinem Passwort für das Google- oder Alexa-Konto zu fragen – ein klassisches Phishing-Szenario, wie man es von Spam-Mails kennt. Experten nennen dieses Phishing via Sprachassistent "Vishing". Das "V" steht für "Voice", dem englischen Wort für "Stimme".

So wurden die Sicherheitskontrollen ausgetrickst

Um die App trotz dieser Missbrauchsmöglichkeiten in die Stores zu bekommen, legten die Forscher zunächst eine harmlose Variante zur Prüfung vor. Nachdem diese von den Plattformbetreibern abgenickt worden war, lieferten sie ein Update nach, das die versteckten Spionagefunktionen aktivierte.

• Ist Alexa eine Spionin? Was Amazons Lautsprecher alles mithört
• Sprachaufnahmen entfernen: So löschen Sie aufgezeichnete Alexa-Daten
• Vorsicht, Phishing! Woran Sie Betrugs-Mails sofort erkennen

Die Tests der Sicherheitsforscher zeigen, wie anfällig vernetzte Lautsprecher für Missbrauch sind. Nutzer können sich davor schützen, indem sie auf zusätzliche Sprach-Apps verzichten oder darauf achten, dass diese aus vertrauenswürdiger Quelle stammen. Eine Zwei-Faktor-Authentifizierung kann zudem Phishing-Angriffe vereiteln. Wie man diese im Google-Konto aktiviert, erfahren Sie hier.

Doch auch die Plattformanbieter tragen eine Verantwortung. Wie ein Amazon-Sprecher "Spiegel Online" mitteilte, habe der Konzern bereits zusätzliche Schutzmaßnahmen eingeführt, um betrügerische Skills künftig besser zu erkennen. Auch Google will die Kontrollen verschärfen. Details nennen die Konzerne nicht.