Wenn Alexa plötzlich nach dem Passwort fragt, sollten die Alarmglocken läuten. Auch wenn es um ein scheinbar legitimes Anliegen wie das Installieren von Sicherheitsupdates geht, handelt es sich ziemlich sicher um einen Phishing-Angriff, wie Forscher gerade demonstriert haben.

Google und Amazon haben ihre sprachgesteuerten Smarthome-Plattformen für Apps externer Anbieter geöffnet. Wer die installiert, kann sich damit ähnliche Probleme einhandeln, wie auf dem PC oder Smartphone: Die App könnte beispielsweise einen Phishing-Angriff starten oder den Benutzer heimlich belauschen.

Voice Phishing – Vishing?

Wenn Alexa nach dem Passwort fragt, ist etwas faul.

Luise Frerichs und Fabian Bräunlein haben das ganz konkret für Alexa und Google Home demonstriert. Ihre als Horoskop getarnte App ("Alexa, gib mir mein Horoskop für heute!") beendet sich nach einer Interaktion mit dem Nutzer nur scheinbar, läuft jedoch im Hintergrund heimlich weiter. Etwas später meldet die sprechende Smarthome-Zentrale aus heiterem Himmel, dass dringende Sicherheits-Updates bereit stünden und der Anwender sein Passwort zur Installation eingeben müsse.

Da man das von Smartphone und PC durchaus gewohnt ist, wird sicher der ein oder andere der Aufforderung nachkommen und damit ohne sein Wissen das Passwort an den App-Hersteller weitergeben. Doch damit nicht genug: Wenn die App unbemerkt im Hintergrund weiterläuft, kann sie auch den Nutzer belauschen und Gesprächsinhalte an die Server der Hersteller senden, warnen die Forscher.

Verantwortung der Plattform-Betreiber

Die Forscher der SRLabs geben mit ihren Smart Spies erste Beispiele für Probleme, die sicher bald real auf uns zukommen werden. Mit der Beliebtheit solcher Voice-Apps steigt auch das Interesse der Kriminellen. Die Plattform-Betreiber stehen in der Verantwortung, bessere Vorkehrungen zu treffen, um Missbrauch zu verhindern. Sie führen vor der Freigabe der Apps zwar ein Review durch, doch das genügt nicht. So legten die beiden Forscher von SRLabs zunächst eine saubere Version vor und reichten die Spionage-Funktionen erst später in einem Update nach, das offenbar nicht mehr geprüft wurde. (ju)