Per Sprachkommando setzen sie einen Timer fürs Kochen, beantworten Fragen, spielen Musik oder schalten andere Geräte ein und aus. Smarte Lautsprecher wie der Amazon Echo oder Google Home werden immer populärer in unseren Haushalten. Doch nicht wenige Menschen begegnen ihnen auch mit Skepsis und sehen sie als mögliches Überwachungsinstrument.

Eine Sorge, die laut einem Versuch von Berliner Forschern der Security Research Labs (SRLabs) nicht ganz von der Hand zu weisen ist. Wenngleich Firmen wie Google und Amazon stets beteuern, erst auf Befehl Gesagtes aufzunehmen und zu verarbeiten, konnten sie dennoch die Geräte in Abhörwanzen verwandeln, die Gesprochenes an Dritte weiterleiten, berichtet der "Spiegel".

Horoskop und Zahlengenerator als Abhörtool

Dazu entwickelten sie "Skills" beziehungsweise "Actions" für Echo und Home. Unter diesem Namen ermöglichen es die Hersteller Entwicklern, die Geräte um eigene, nicht im Lieferumfang befindliche Funktionen zu erweitern. Die Sicherheitsexperten von SRLabs konnten auf den Plattformen der Anbieter eine Horoskop-Funktion beziehungsweise einen Generator für Zufallszahlen veröffentlichen.

Die Horoskop-App fragte User nach ihrem Sternzeichen und verlas dann ihre astrologischen "Aussichten" für die nahe Zukunft. Wurde dies mit dem Kommando "Alexa, stopp" abgebrochen, bestätigte das Programm dies zwar scheinbar mit der Meldung "Goodbye", zeichnete aber weiter in der Umgebung Gesprochenes auf.

Update ermöglichte gezielte Aufzeichnung

Zudem konnten die Forscher nach der Veröffentlichung des Skills ohne weiterer Überprüfung eine Aktualisierung nachreichen, die dazu führte, dass nach dem scheinbaren Ende der Horoskopansage die Aufzeichnung von Gesprächen begann, sobald jemand in Hörtweite das Wort "Ich" sagte. Auch zahlreiche weitere "Hotwords" wären zusätzlich festlegbar gewesen.

Beim Google Home war dieser zusätzliche Schritt nicht notwendig. Dort spuckte die von den Forschern veröffentlichte "Action" auf Wunsch des Nutzers eine Zufallszahl aus und verabschiedete sich danach ebenfalls mit "Goodbye", hörte aber trotzdem weiter zu. Danach Gehörtes wurde an die Server der Forscher geschickt. Technisch gesehen wartete der Lautsprecher auf weitere Kommandos, gab das aber nicht bekannt, weil die Sicherheitsexperten für eine entsprechende Ansage Sonderzeichen festgelegt hatten, die der Lautsprecher nicht vorlesen kann.

Apps fragten nach Passwörtern

Sowohl bei Google Home als auch auf Amazons Echo konnte man zudem nach einer weiteren Aktualisierung versuchen, an Passwörter von Usern zu kommen. Dazu ließ man die Horoskop-Apps erklären, dass es ein "wichtiges Sicherheitsupdate" für ihren Lautsprecher gebe und man für die Installation das Kommando "Start" gefolgt vom Kennwort ansagen müsse.

Es gibt allerdings Einschränkungen, was die Bedrohung durch solche bösartigen Skills betrifft. So konnten die Forscher etwa nicht die Leuchtsignale deaktivieren, mit denen die smarten Lautsprecher darauf hinweisen, dass sie gerade zuhören. Zudem sollte auch die Nachfrage nach Passwörtern selbst weniger vorsichtige Nutzer stutzig machen. Abgehört werden konnte zudem nur, was in der Nähe der Lautsprecher gesagt wurde. Vorausgesetzt wird auch, dass sich die User ausgerechnet das bösartige Horoskop beziehungsweise den Zahlengenerator selbst aus dem mittlerweile sehr umfangreichen Angebot an Zusatzfunktionen installieren.

Reaktion

Vor Veröffentlichung ihrer Erkenntnisse hat SRLabs Amazon und Google über seine Funde informiert. Beide gaben an, darin ein realistisches Risiko zu erkennen. Daher hätten sie zusätzliche Schutzmaßnahmen ergriffen und die Apps der Forscher entfernt. (red, 21.10.2019)