Cyberangriffe per Sprachbefehl

Alexa – hack Dich selber!

11. März 2022, 11:17 Uhr | Lars Bube | Kommentar(e)
Smart Speaker Hack
© Mickael - AdobeStock

Smarte Geräte lassen sich per Sprachbefehl nicht nur steuern, sondern auch angreifen. Sicherheitsexperten ist es jetzt sogar gelungen, Amazons Alexa dazu zu bringen, sich selbst die schädlichen Anweisungen dazu zu erteilen.

Immer mehr Deutsche entdecken den Komfort smarter Assistenten für sich, in mehr als jedem fünften Haushalt nimmt aktuellen Statistikern zufolge bereits ein entsprechender digitaler Butler Sprachbefehle entgegen. Die größte Sorge der Nutzer gilt dabei der berechtigten Frage, welche Daten die Hersteller, allen voran die Marktführer Amazon und Google, dabei wohl einsammeln und was sie damit anstellen. Dass die Geräte durch die wachsende Verbreitung aber auch für ganz andere zwielichtige Gesellen interessanter werden, wird hingegen allzu gerne übersehen. Praktischer Weise öffnen sie solchen digitalen Einbrechern gleich noch ganz neue Hintertüren zum digitalen Datenschatz und ins vernetzte Zuhause. Neben dem direkten Angriffsvektor über das Netzwerk ist es Sicherheitsexperten bereits mehrfach gelungen, sich über Sprachkommandos unberechtigt Zugang zu verschaffen. Entweder, indem sie direkt schädliche Anweisungen einsprachen, oder diese über Brücken wie Lautsprecher und manipulierte Audio-Geräte ablaufen ließen.

Jetzt haben Security-Forscher aus Italien und England diese Methode sogar so weit verfeinert, dass sie dafür Alexas eigenen Lautsprecher als Befehlsgeber nutzen können. Um sich den dafür notwendigen Erstzugang zum Echo zu verschaffen, infiltrieren sie diesen zunächst entweder über einen manipulierten Skill, oder sie weisen ihn mit einem Sprachbefehl dazu an, sich per Bluetooth mit einem eigenen Smartphone oder Rechner in der Nähe zu verbinden. Über diesen Mittelsmann lassen sie Alexa dann Sprachbefehle vorlesen, mit deren Ausführung sie sich selbst oder dem Nutzer schadet. Weil Alexa sich damit quasi selbst angreift, bezeichnen sie die Attacke als „Alexa vs Alexa“ (AvA).

Auf diese Weise können Angreifer dauerhaft die Kontrolle übernehmen und etwa Mithören, Daten auslesen und verändern, Anrufe einleiten und Käufe tätigen, aber auch andere mit Alexa vernetzte Geräte wie Lichter, Heizungen und Sicherheitssysteme fernsteuern. Zudem kann die Box so dazu gebracht werden, echte und manipulierte Skills zu starten. Damit lassen sich dann beispielsweise Zugangsdaten auslesen und Angriffe auf das Netzwerk initiieren sowie sämtliche Spracheingaben komplett abfangen und zum Angreifer umleiten, der sie speichern und sogar die darauf erfolgende Antwort kontrollieren kann. Auch Sperren wie die für kritische Befehle erforderliche Bestätigung lassen sich mit der Methode denkbar einfach umgehen.

Mit ein paar einfachen Tricks kann Alexa dazu gebracht werden, sich selbst schädliche Befehle zu erteilen

Solche Hacks zeigen eindrücklich, wie schnell und einfach der emsige Helfer zum Feind im eigenen Wohnzimmer werden kann. Nach der Meldung der Forscher hat Amazon zwar zumindest einige der Schwachstellen ausgeräumt, andere bleiben jedoch genauso bestehen, wie das Grundproblem der Geräte und ihrer Sprachsteuerung als Einfallstor. Die beste Möglichkeit sich dagegen zu schützen, ist nach Ansicht der Experten deshalb, das Gerät oder zumindest das Mikrofon bei Abwesenheit oder Nichtnutzung stets zu deaktivieren.


Verwandte Artikel

Amazon, Google

Computerkriminalität

IT-Security

Matchmaker+