Voice Phishing mit Amazons Alexa

Wenn Alexa Sie plötzlich nach ihrem Passwort fragt, sollten alle Alarmglocken schrillen – auch wenn es dabei angeblich um  das Installieren von Sicherheitsupdates oder andere wichtige Maßnahmen geht. In aller Regel handelt es sich dabei nämlich ziemlich sicher um einen Phishing-Angriff, wie ihn Forscher gerade vorgeführt haben.

Öffnung der Smarthomes für fremde Apps

Die Assistenten-Betreiber Google und Amazon haben inzwischen ihre sprachgesteuerten Smarthome-Plattformen für Apps von externen Anbietern geöffnet. Wer solche Apps installiert, kann sich aber damit ähnliche Probleme einhandeln wie auf dem Computer oder dem Smartphone: Die App könnte nämlich einen Phishing-Angriff durchführen oder einfach nur den Benutzer heimlich belauschen.

Die Berliner Sicherheitsforscher Luise Frerichs und Fabian Bräunlein von den SRLabs haben das  für Alexa und Google Home vorgeführt: Ihre als Horoskop getarnte App („Alexa, gib mir mein Horoskop für heute!“) schließt sich nach einer Interaktion mit dem Nutzer nicht wirklich, sondern läuft im Hintergrund einfach weiter.

Etwas später meldet die sprechende Smarthome-Zentrale dann aus eigenem Antrieb, dass wichtige Sicherheitsupdates bereit stünden und der Anwender jetzt sein Passwort zur Installation eingeben müsse.

Weil man das von Smartphones und PCs gewohnt ist, wird so mancher der Aufforderung nachkommen und damit unwissend sein Passwort an den Hersteller der App weitergeben. Es gibt auch noch eine andere Gefahr: Wenn die fremde Schad-App unbemerkt im Hintergrund weiterläuft, kann sie natürlich auch den Benutzer belauschen und Gesprächsinhalte an die Server seines Hersteller senden, warnen die beidenForscher.

Die Berliner Forscher geben mit ihren Smart Spies Beispiele für Probleme, die wohl schon bald real auf uns zukommen werden, denn mit der Beliebtheit solcher Voice-Apps wächst auch das Interesse von Kriminellen.

Deshalb stehen die Plattform-Betreiber in der Verantwortung, bessere Maßnahmen zu ergreifen, um den Missbrauch ihrer Sprachassistenten zu verhindern. Aktuell führen sie zwar vor der Freigabe der Apps ein Review durch, aber das reicht offensichtlich nicht aus.

Denn die beiden Forscher von SRLabs legten zunächst eine saubere Version vor und installierten die Spionagefunktionen erst danach per Update nach, welches dabei offenbar nicht mehr geprüft wurde…

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Allgemeines, Internet, News, Programmierung, Sicherheit, Soziales, Tipps und Tricks abgelegt und mit , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.