Sprachassistenten

Alexa & Google Assistant: Forscher hören Nutzer ab

Berlin Forscher haben einen Weg gefunden, Nutzer von Alexa und Google Assi­stant unbe­merkt abzu­hören. Sie profi­tierten dabei von deren Sorg­losig­keit - und von der von Google.
Von dpa / Wolfgang Korne

Spion im Wohnzimmer? Der Echo Dot lauscht. Spion im Wohnzimmer? Der Echo Dot lauscht.
Bild: Amazon Berliner Sicher­heits­forscher haben nach einem Bericht des Nach­rich­tenma­gazins "Der Spiegel" Sicher­heits­lücken in dem Frei­gabe­prozess von Apps für smarte Laut­spre­cher von Amazon und Google aufge­deckt.

Sicher­heits­kontrollen über­listet

Spion im Wohnzimmer? Der Echo Dot lauscht. Spion im Wohnzimmer? Der Echo Dot lauscht.
Bild: Amazon Die Forscher der Berliner Secu­rity Rese­arch Labs (SRLabs) konnten über die offi­ziellen App-Stores für Amazon Echo und Google Home Apps verbreiten, mit denen sich Nutzer eines Amazon Echo oder Google Home unbe­merkt abhören ließen. Dabei sei es gelungen, die Sicher­heits­kontrollen von Amazon und Google zu über­listen.

Die SRLabs-Forscher hatten zunächst harm­lose Vari­anten der Apps, die bei Amazon "Skills" heißen und bei Google "Actions" oder "Aktionen", bei den Unter­nehmen einge­reicht und frei­schalten lassen. Die Apps konnten Nutzer­anfragen zum Beispiel nach einem Horo­skop beant­worten und täuschten anschlie­ßend ihre Inak­tivität vor. Nach der ersten Sicher­heits­kontrolle wurden die Apps aller­dings so verän­dert, dass sie nach einer "Goodbye"-Meldung weiterhin lauschten. Eine erneute Über­prüfung der mani­pulierten App habe nicht statt­gefunden.

Mini­male Verbrei­tung

In der Praxis rich­teten die Apps quasi keinen Schaden an, weil sie zunächst einmal unter den Tausenden von Skills und Aktionen gefunden und instal­liert werden mussten. Außerdem zeigen die leuch­tenden Farb­signale an den Geräten an, dass sie die Sprache aufzeichnen. Je nach Standort sind diese aber bisweilen leicht zu über­sehen. Und schließ­lich müssen die Nutzer auch in der Nähe der Laut­spre­cher bleiben. Sonst funk­tioniert das Abhören natür­lich nicht. Das Expe­riment der Forscher legte aller­dings gravie­rende Schwach­stellen bei der Frei­gabe von App-Aktua­lisie­rungen bei Amazon und Google offen.

Die SRLabs-Forscher infor­mierten die Unter­nehmen über ihre Versuche, die daraufhin reagierten. "Wir haben Schutz­maßnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhin­dern. Skills werden abge­lehnt oder entfernt, sobald ein solches Verhalten iden­tifi­ziert wird", teilte Amazon dem "Spiegel" mit. Eine Google-Spre­cherin schrieb auf Anfrage: "Wir unter­sagen und entfernen jede Action, die gegen unsere Richt­linien verstößt." Die von den Forschern entwi­ckelten Actions habe Google gelöscht. "Wir setzen zusätz­liche Mecha­nismen ein, um derar­tiges in Zukunft zu unter­binden."

Mehr über die intel­ligenten Sprachas­sistenten lesen Sie in unserem Ratgeber zu Smart Spea­kern.

Mehr zum Thema Alexa