Digital Life
14.08.2018

Wenn smarte Lautsprecher zur Wanze werden

Sicherheitsforscher gelang es über Amazons Echo Gespräche abzuhören. Smartphones seien lohnendere Ziele, meinen Experten.

Als Amazon im Sommer 2015 erstmals seinen smarten Lautsprecher Echo auf den Markt brachte, war es für viele nur eine Frage der Zeit, bis solche Geräte breitflächig zum Abhören ihrer Besitzer verwendet würden. Entsprechende Schadsoftware für die Lautsprecher blieb bislang jedoch weitgehend aus. Versuche Echo-Lautsprecher zu kompromittieren, gibt es zwar immer wieder, praktisch umsetzbar waren sie aber nur sehr schwer. Am Sonntag demonstrierten auch chinesische Sicherheitsforscher auf der Konferenz Defcon in Las Vegas, wie smarte Amazon-Lautsprecher ferngesteuert und in Wanzen verwandelt werden können, berichtet Wired. Die Attacke ist allerdings kompliziert und setzt neben Manipulationen an der Hardware auch voraus, dass sich die Angreifer im selben WLAN-Netzwerk wie das Zielgerät befinden.

Mehrere Schwachstellen ausgenutzt

Die Forscher vom chinesischen Technologiekonzern Tencent nutzten für ihre Attacke mehrere Schwachstellen des Amazon-Lautsprechers aus. Als Ausgangspunkt für den Angriff diente ihnen ein Echo-Lautsprecher, dessen Firmware sie manipulierten. Dazu mussten sie auf den Flash-Chip des Geräts zugreifen und die ursprüngliche Gerätesoftware überschreiben. Danach nutzten sie den manipulierten Echo, um sich mit dem Zielgerät zu verbinden. Dafür waren die Amazon-Zugangsdaten des Zielobjekts und die Verbindung über WLAN notwendig.

Über eine Schwachstelle in der Software, die die Kommunikation zwischen unterschiedlichen Echo-Geräte ermöglicht, konnten die Sicherheitsforscher dann volle Kontrolle über das Ziel-Gerät gewinnen und erhielten so auch Zugriff auf das Mikrofon, über das sie unbemerkt Gespräche mitschneiden und übertragen konnten.

Massenhaft Angriffe unwahrscheinlich

Die Schwachstellen seien mittlerweile alle behoben, heißt es von Amazon in einer ersten Reaktion. Aber auch abgesehen davon, ist es eher unwahrscheinlich, dass mit der Methode nun massenhaft Echo-Geräte angegriffen werden. Joe Pichlmayr, Geschäftsführer der Wiener Sicherheitssoftwarefirma Ikarus, sieht keine Gefahr flächendeckender Angriffe auf die smarten Speaker großer Hersteller wie Amazon, Google oder Apple. Die Angriffe seien wegen der Sicherheitsvorkehrungen der Hersteller ziemlich aufwendig, darüber hinaus brauche man physikalisch Zugriff auf die Geräte. Bei Billiggeräten, etwa "smarten" sprechenden Puppen, sei die Lage anders, warnt Pichlmayr.

Auch Florian Lukavsky, Sicherheitsexperte bei SEC Consult glaubt nicht, dass smarte Lautsprecher im großen Stil zum Abhören verwendet werden könnten. Das gezielte Ausspionieren von „interessanten Zielpersonen“, etwa Politiker, Aktivisten oder Entscheidungsträger, sei aber durchaus vorstellbar.

Reihe von Hacks

Die chinesischen Sicherheitsforscher sind nicht die ersten, die versucht haben, Amazons smarte Lautsprecher in Spionagewerkzeuge zu verwandeln. Im vergangenen Jahr demonstrierte der britische Hacker Mark Barnes eine Methode, mit der er über Metallkontakte unter der Schutzhülle der Lautsprecher Schadsoftware auf die Geräte spielte. Forscher der Sicherheitsfirma Checkmarx gelang es wenig später Echo-Lautsprecher über eine boshafte Software-Erweiterung zu kontrollieren. Um die Kontrolle über die smarten Lautsprecher zu erlangen, experimentierten Forscher auch mit Ultraschallwellen.

„Phänomenale Abhörgeräte“

Wenn es Angreifern tatsächlich gelingen sollte, smarte Lautsprecher zu kompromittieren, wäre dies eine machtvolle Überwachungsmöglichkeit, zitiert Wired Jake Williams, der  für den US-Auslandsgeheimdienst NSA tätig war. Anders als Smartphones, die nur Geräusche in ihrer unmittelbaren Nähe wahrnehmen könnten, seien smarte Lautsprecher in der Lage alle Geräusche im Raum aufzuzeichnen, sagt Williams: „Sie sind phänomenale Abhörgeräte.“

Datensammlung

Problematisch an den intelligenten Lautsprechern sei, dass die Betreiber der Systeme viel über ihre Nutzer in Erfahrung bringen könnten, sagt Sicherheitsexperte Pichlmayr: „Irgendwann vergisst man, was man ihnen alles gesagt hat.“ Auch müssten die Geräte immer angeschaltet sein, da sie sonst nicht auf die Schlüsselwörter für Sprachbefehle reagieren können. „Die Hersteller versichern zwar,  dass sie nicht mithören, man muss aber mit dem Restrisiko leben.“ Pichlmayr empfiehlt die Geräte bewusst zu nutzen und sie, wenn sie nicht in Verwendung sind, komplett abzuschalten.

Smartphones als Ziele attraktiver

Von der Verwendung smarter Lautsprecher rät Pichlmayr nicht ab. Anders als  Smartphones, auf denen dutzende Apps Nutzerdaten abgreifen und User deshalb rasch den Überblick verlieren, seien die smarten Lautsprecher sehr transparent. „Nutzer können jederzeit nachsehen, was das Gerät aufgezeichnet hat.“ Smartphones seien für Abhör- und Spionageaktivitäten die attraktiveren Ziele, meint auch Sicherheitsexperte Lukavsky. Auf Smartphones seien wesentlich mehr Informationen einsehbar: „Vermutlich ist auch das Bewusstsein größer, bei vertraulichen Gesprächen einen smarten Lautsprecher abzudrehen, als das Smartphone außer Hörweite zu legen.“

Umkämpfter Markt

Die Anzahl der smarten Lautsprecher soll sich  Marktforschern zufolge 2018 von 50 Millionen auf mehr als 100 Millionen Geräte weltweit verdoppeln. Nach Schätzungen der Analysten von Canalys sollen heuer weltweit mehr als 55 Millionen Geräte verkauft werden.

Amazon ist mit seinen Echo-Lautsprechern, die es in verschiedenen Varianten gibt, der  Marktführer. Sie wurden 2015 auf den Markt gebracht, sind in Österreich aber erst seit Anfang 2017 erhältlich. Google hat mit seinem Smart Speaker namens „Google Home“ eine Aufholjagd gestartet und laut Canalys im ersten Quartal 2018 rund 3,2 Millionen Exemplare verkauft. Im Gegensatz dazu verkaufte Amazon nur 2,5 Millionen Echo-Lautsprecher.  Den Marktforschern zufolge werden Amazon und Google weiter  die größten Anbieter für Smart Speaker sein. Auch Apple ist mit dem „HomePod“ vertreten, aber mit geringerem Marktanteil.

Allerdings können sich die Machtverhältnisse in dem recht jungen Markt noch rasch verändern. So stellte Samsung vergangene Woche mit „Galaxy Home“ einen neuen smarten Lautsprecher vor. Das südkoreanische Unternehmen betont, dass sich dieser besonders gut ins Ökosystem integrieren soll, um etwa auch das Smart Home und andere Geräte zu steuern. Da Samsung die größte Handy- und Heimelektronikmarke der Welt ist, könnte das tatsächlich für viele Nutzer ein Kaufanreiz sein.