Der Haushalt wird intelligent. Verschiedene Anbieter, darunter Google, Amazon und Apple, versprechen mit ihren intelligenten Geräten einen noch leichteren und weniger beschwerlicheren Alltag. Dazu ist es einfach notwendig mit den Worten „OK, Google“, „Alexa“ oder „Hey Siri“ den Assistenten der Wahl zu aktivieren und eine Abfrage abzuschicken.
Ich selber möchte diese Art der Vernetzung keinesfalls verteufeln. Auch ich nutze einen Smart Speaker in den eigenen vier Wänden. Trotzdem wurde bereits im letzten Jahr bewiesen, dass die Geräte von Amazon und Google auch dazu verwendet werden können, um den einfachen Nutzer abzuhören. Eine neue Studie zeigt nun, dass die beiden Unternehmen nachlässig handeln und betrügerische Erweiterungen für die eigenen Endgeräte zulassen.
Bereits seit Anbeginn ist es für Drittanbieter möglich sogenannte „Skills“ oder „Actions“ anzubieten. Auf diesem Weg ist es beispielsweise möglich, Aufgaben bei Drittanbietern, wie ToDoist, zu erstellen. Das Prinzip ist simpel: Während ich mit der Drittanbieterapp spreche, wird immer mal wieder kurz das Mikrofon aktiviert, um meine Antworten auf Rückfragen aufzuzeichnen.
Bösartige Skills oder Actions können aber die Standardeinstellungen übergehen und das Mikrofon länger aktiv schalten, als das eigentlich vom Hersteller vorgesehen ist. Auf diesem Weg kann der Nutzer noch über einen deutlich längeren Zeitraum aufgezeichnet und damit abgehört werden. Denkt hier ein Nutzer, dass der Skill oder die Action nicht mehr antwortet, dann bekommt dieser von der Abhöraktion gar nichts mit.
ZDNet berichtet dabei von einem konkreten Beispiel: Eine Horoskop-App meldet dem Nutzer, dass ein Fehler aufgetreten ist, lässt aber das Mikrofon dauerhaft angeschaltet. Der User erhält nun von seinem Smart Speaker die Rückmeldung, dass er seine Anmeldedaten für seinen Google oder Amazon Account durchgeben soll, um den Fehler mit Skills oder Actions zu beheben. Wer hierauf hineinfällt, der wird Opfer einer Phishing-Attacke.
Nutzer eines HomePods von Apple sind hingegen vor einem solchen Angriff sicher. Hier verbietet das Unternehmen Drittanbietern den direkten Kontakt mit dem Endkunden; diese müssen in diesem Fall über Siri gehen.
Der Sachverhalt zeigt, dass der Nutzer zum aktuellen Zeitpunkt keine optimale Lösung nutzen kann. Entweder verwendet er keine Drittanbieter-Apps, er geht das Risiko eines Angriffs ein oder muss mit Einschränkungen durch die zwischengeschaltete Siri rechnen. Vielleicht doch ein Grund, langfristig wieder offline zu gehen.
Quelle: 9TO5 Mac
Mehr Smart Home:
