Abgehört von Google Home Apps & Amazon Alexa Skills – HomePod ist sicher

Abgehört von Google Home Apps & Amazon Alexa Skills - HomePod ist sicher 1

Homepod sicher: Amazon Alexa (Echo) und Google Home Lautsprecher anfällig für Phishing Attacken. Die smarten Assistenten für die „intelligenten Lautsprecher“ mit Amazon Alexa und Google Home erlauben und empfehlen die Installation zusätzlicher Apps und Skills zur Erweiterung der Nutzungsmöglichkeiten – Apple lässt beim HomePod hier ausschließlich die Interaktion mit Siri zu. Genau hier liegt der Angriffsvektor auf Geräte mit Google Home und Amazon Alexa – eine gefährliche Schwachstelle von Google Home und Amazon Alexa zeigen Luise Frerichs und Fabian Bräunlein von SRLabs aus Berlin nun auf: Dritt-Apps können durch Einfügen von „Pausen“ deutlich länger die gesprochenen Inhalte aufzeichnen und verwerten als nötig wäre.

Im Beispiel wird eine App bzw. Skill auf Google Home und Amazon Alexa ausgeführt, der „My lucky horoskope“ heißt und von den Sicherheitsexperten als Beispiel dient, wie Apps und Skills zu Phishing Zwecken missbraucht werden können.

Smart Spies: Amazon Alexa Phishing

Die „Lucky Horoskope“ App bzw. Alexa Skill meldet bei Start einen „Abbruch“, was den Nutzer in dem Glauben lässt, dass die App nicht weiter zuhört. Stattdessen wird der Nutzer über ein bevorstehendes Update informiert und die Eingabe eines Passwortes über Spracheingabe gefordert. Das Lucky Horoskope läuft jedoch weiter im Hintergrund, schreibt die Passworteingabe mit und übermittelt dies an den Betreiber der Phishing Malware.

Smart Spies: Google Home Phishing

Abgesehen davon, dass weder Google auf den Home Geräten noch Amazon Alexa auf den Echos nach einem Passwort fragen wird – es sollte Skills und Apps nicht möglich sein, das Mikrofon über einen längeren Zeitraum offen zu halten, ohne dies dem Nutzer zu signalisieren.

Sicherlich macht der Apple HomePod nicht alles „richtig“ und Siri hinkt teilweise den „smarten Kollegen“ deutlich hinterher – dank der Beschränkung von Drittanbietern auf die Nutzung ausgewählter APIs darf der HomePod gegenüber solchen Angriffen als sicher angesehen werden – allerdings lässt sich dieser auch nicht so problemlos mit Funktionen erweitern wie Google Home oder Amazon Alexa.

Zurück zur Apple News Übersicht

Leser-Interaktionen

Was Denkst Du?