Alexa- und Google Home-Apps von Drittanbietern können Passwörter abhören und phishing

Alexa- und Google Home-Apps von Drittanbietern können Passwörter abhören und phishing

⌛ Reading Time: 3 minutes

Besitzer von intelligenten Lautsprechern waren im vergangenen Jahr alarmiert oder hätten zumindest alarmiert sein müssen, dass die Mitarbeiter der Unternehmen routinemäßig Aufzeichnungen von Anfragen der Lautsprecher abhörten.

Aber sie sind möglicherweise nicht die einzigen, die mithören. App-Entwickler von Drittanbietern mit schändlicher Absicht können Amazon-Fähigkeiten und Google Home-Aktionen erstellen, die harmlos erscheinen, aber tatsächlich „kluge Spione“ sind.

Smart Speaker Apps von Drittanbietern

Das ist richtig – jetzt müssen Sie sich auch um Apps von Drittanbietern auf Ihrem Smart Speaker kümmern. Sie wissen, dass Sie auf Ihrem Computer und Ihren Mobilgeräten vorsichtig sein müssen, aber jetzt müssen Sie sich auch Gedanken über die wahre Absicht von Apps von Drittanbietern auf Ihrem Smart Speaker machen.

Whitehat-Hacker von Security Research Labs in Deutschland entwickelte acht Apps: vier Alexa-Fähigkeiten und vier Google Home-Aktionen. Google und Amazon haben jede der Apps genehmigt.

Alle Apps suchten nach Horoskopen, mit Ausnahme einer, die ein Zufallsgenerator war. Aber diese Apps waren „intelligente Spione“, die die Benutzer intelligenter Lautsprecher und Phishing-Passwörter belauschen konnten.

“Es war immer klar, dass diese Sprachassistenten Auswirkungen auf den Datenschutz haben – Google und Amazon erhalten Ihre Rede, und dies wird möglicherweise manchmal durch einen Unfall ausgelöst”, sagte Fabian Bräunlen, Senior Security Consultant bei SRLabs.

“Wir zeigen jetzt, dass nicht nur die Hersteller, sondern auch Hacker diese Sprachassistenten missbrauchen können, um in die Privatsphäre einer Person einzugreifen.”

Während die acht Apps unterschiedlich benannt wurden und alle etwas anders funktionierten als die anderen, teilten sie ähnliche Abläufe.

Wenn ein Benutzer sagte: “Alexa, bitte mein Glückshoroskop, mir das Horoskop für Stier zu geben” oder “Okay, Google, bitte mein Glückshoroskop, mir das Horoskop für Stier zu geben”, lieferten die Abhör-Apps das Stierhoroskop, aber das Phishing Apps haben eine gefälschte Fehlermeldung ausgegeben.

Es sah dann so aus, als würden die Apps nicht mehr ausgeführt, aber sie lauerten tatsächlich auf den nächsten Schritt des geplanten Angriffs.

Die Abhör-Apps hörten immer noch zu, protokollierten alle Gespräche in Hörweite des Sprechers und sendeten eine Kopie an einen vom Server festgelegten Dienst.

Bei den Phishing-Apps wurde nach der Fehlermeldung, dass die Fertigkeit oder Aktion im Land des Benutzers nicht verfügbar war, stummgeschaltet, sodass die App nicht mehr ausgeführt werden konnte. Stattdessen verwendeten die Apps eine Stimme, die Alexa und Google Assistant nachahmte, und behaupteten, es sei ein Geräteupdate verfügbar, bei dem nach dem Kennwort für die Installation gefragt wurde.

Google und Amazon Response

Alle Apps verwendeten einfache Methoden, um ihr böswilliges Verhalten zu verbergen. Routech.ro wird nicht die Methoden beschreiben, mit denen jemand das Wissen erhält, wie das System umgangen werden kann. Die Website heißt nicht Make Hacking Easier.

Beachten Sie jedoch, dass die Informationen da draußen sind. Daher sollten Amazon und Google dies sicherlich wissen und dies jetzt tun, nachdem sie von SRLabs benachrichtigt wurden. Beide sagten, sie ändern die Art und Weise, wie Apps genehmigt werden, um dies in Zukunft zu verhindern. Es hätte jedoch nicht nötig sein sollen, dass Hacker sie darauf aufmerksam machten.

Ändert dies Ihre Meinung oder werden Sie Alexa- oder Google Home-Lautsprecher verwenden? Sagen Sie uns in den Kommentaren unten, wie sich dies auf Sie auswirken kann.