Sicherheitsleck könnte Hackern Zugriff auf private Daten gewähren Alexa oder Google Assistant abzuhören ist erschreckend einfach

Mit einem simplen Trick gelang Berliner Forschern vor Kurzem der Zugriff auf Amazon Echo und Google Home Lautsprecher. Sie programmierten kostenlose Entertainment-Features, deren Aktivierung zusätzlich eine brisante Funktion startete: Selbst, wenn der Nutzer meinte die Funktion ausgeschaltet zu haben, sammelte diese weiter Daten. Wir fassen alle Fakten zu diesem Sicherheitsexperiment zusammen und erklären, wie Anwender sich vor echten Datendieben schützen können.

Ob, wann und wie oft Alexa heimlich mithört ist schon lange umstritten

So konnten die SRLabs Sicherheitsexperten Alexa per Pishing-Trick abhören

Forschern des Berliner Security Research Labs (SRLabs) gelang der Zugriff auf persönliche Passwörter, indem sie einen trügerischen Horoskop Skill entwickelten. Nachdem Amazon den Skill als unbedenklich eingestuft hatte, änderten die Forscher einfach den Code und bauten anhand von Schadsoftware nachträglich einen fiesen Abhörmodus ein. In einem Beitrag erläuterten sie sogar ausführlich Schritt für Schritt ihre Vorgehensweise in einer Art „Anleitung“ für potenzielle Hacker.

Wurde der Horoskop-Skill von Alexa Nutzern aktiviert, war statt einer Begrüßungsnachricht die Aussage „Diese Funktion ist derzeit in Ihrem Land nicht verfügbar“ zu hören. Danach herrschte Stille. Denn durch die Hinterlegung einer Zeichenfolge, die von Alexa nicht ausgesprochen werden kann, erzeugten die Forscher eine künstliche Pause. So, dass beim Anwender der Eindruck entstehen sollte sein Gerät sei inaktiv.

Anschließend ließen sie Alexa, über die insgeheim immer noch aktive Funktion mitteilen: „Für Ihr Gerät ist ein wichtiges Sicherheitsupdate verfügbar.“ Sofern die Anwender Alexa aufforderten das Update zu starten und ihr Passwort eingaben, wurde dieses an die Forscher weitergegeben.

Selbst Test-Kandidaten, die ihr Horoskop über den gefälschten Skill abriefen und die Funktion mit dem Befehl „Alexa, Stopp“ zu beenden glaubten, entgingen der Spionage-Attacke nicht. Denn Alexa gab zwar die Antwort „Goodbye“ aus, blieb aber danach einige Sekunden weiterhin aufmerksam. Sofern in diesem Zeitraum ein bestimmtes von den Forschern festgelegtes Stichwort fiel, begann Alexa heimlich Daten aufzuzeichnen. Vor allem bei Aussagen, die mit „Ich“ beginnen und dementsprechend persönliche Informationen enthalten, kann dies fatal sein, wie folgendes Video zeigt:

Besonders brisant ist zudem, dass laut Insidern bis zu 2.500 Begriffe zur Aktivierung der Abhörfunktion hinterlegbar sein könnten. Somit wäre die Chance mit nahezu jeder Aussage den eigenen Smart Speaker versehentlich zur Wanze zu machen, recht hoch. Damit Ihnen das nicht passiert, haben wir im folgenden Abschnitt wichtige Sicherheitstipps zusammengefasst.

Amazons Reaktion auf die Sicherheitslücke

Amazon reagierte umgehend und hat sein Skill-Zertifizierungssystem angepasst, um die Sicherheitslücke zu schließen. In einem ofiziellen Statement heißt es: "Das Vertrauen unserer Kunden ist uns wichtig und wir führen Sicherheitsüberprüfungen im Rahmen der Skill-Zertifizierung durch. Wir haben den betreffenden Skill umgehend blockiert und Schutzmaßnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. "Skills werden abgelehnt oder entfernt, sobald ein solches Verhalten identifiziert wird."

Wie lässt sich Alexa vor Manipulationsversuchen schützen?

Beim Schutz der Daten ist zwischen der legalen Weitergabe durch mehr oder wenige bewusste Zustimmung und illegalen Pishingversuchen zu unterscheiden. Wir geben Tipps wie Alexa Daten in jeder Lebenslage sicher bleiben.

Spionage durch Hacker vermeiden
Zum Schutz gegen die Manipulation durch unbefugte Dritte sollten neue Apps oder Features vor der Installation gründlich geprüft und persönliche Daten so wenig wie möglich herausgegeben werden. Grundsätzlich gilt: Amazon ermittelt niemals verbal per Sprachassistent oder durch Mail-Formulare die Passwörter seiner Kunden. Sobald also unerwartet persönliche Informationen nachgefragt werden, lieber nochmal genauer hinschauen.

Datenweitergabe an Amazon verhindern
Viele Käufer eines Amazon Echo Devices wissen nicht, dass bestimmte voreingestellte Datenschutzfunktionen ihre Privatsphäre beschränken können. So wurde beispielsweise vor einiger Zeit bekannt, dass zwei wenig beachtete Funktionen für die Informationsweitergabe entscheidend sind:

  • „Nachrichten zur Verbesserung der Aufzeichnungen verwenden“
  • „Beim Entwickeln neuer Funktionen mithelfen“

Beide sind standardmäßig auf „on“ gesetzt und erlauben Amazon den Zugriff auf einzelne Sprachsequenzen. Wer dies nicht möchte, sollte die voreingestellte Amazon-Datennutzung manuell in seiner Alexa App abschalten.

Alexa ausschalten und Daten löschen
Falls Alexa mal nicht zuhören soll, kann sie in wenigen Sekunden ausgeschaltet werden. Die meisten Echo Devices bieten dafür direkt am Gehäuse eine Mikrofon-aus-Taste. Anschließend signalisiert der rote Lichtring am Gerät dessen Inaktivität.

Wurden bestimmte Informationen ungewollt automatisch im Suchverlauf der App hinterlegt, kann alternativ die Alexa Suchhistorie mit wenigen Klicks in der Alexa App gelöscht werden. Wie dies genau funktioniert, zeigt unsere Anleitung Alexa Sprachaufnahmen löschen - so geht's.

Google Home Überwachung durch Spionagetrick sogar noch umfangreicher möglich

Laut den SRLabs Experten müssen bei der Abhörung eines Google Home Smart Speakers noch nicht einmal bestimmte Auslösewörter hinterlegt werden. Zum Beweis, programmierten sie einen Zufallszahlengenerator als Google Action und schrieben dessen Funktionen nach der Freigabe durch Google heimlich um. Auch hier wurde nach der Ausgabe der gewünschten Zahl durch die Aussage „Goodbye“ der Eindruck erweckt, die Funktion werde deaktiviert. In Wahrheit zeichnete Google Assistant aber darauffolgende Aussagen auf, wie ein Beispielvideo der Sicherheitsexperten zeigt:

Wie lässt sich vermeiden, dass Google Home zur Wanze wird?

Neben dem sorgsamen Umgang mit den eigenen Daten, kann es nicht schaden gelegentlich die eigenen Datenspuren zu verwischen. Dafür bietet Google Home ebenfalls die Option den Suchverlauf seines Anwenders zu löschen.

Weiterführende Informationen zum Schutz des Smart Speakers liefert zudem unser Ratgeber: Datensicherheit und Datenschutz des Google Assistant

Fazit: Smart Home Fans sollten Sprachassistenten niemals gedankenlos nutzen

Im Alltag käme niemand auf die Idee seine Haustürschlüssel Passanten zu überlassen. Im Onlinebereich sieht es dagegen anders aus: Viele Nutzer erstellen extrem simple Passwörter oder geben sie spontan weiter, wenn ein angeblicher Händler diese anfragt. 

Solche Schwachstellen machen sich Hacker gerne zunutze. Statt vor dem Smart Home zu warten und zu hoffen, dass sie sich ins heimische WLAN-Netzwerk einschleichen können, gehen sie meist den bequemeren Weg und schleusen ihre Schadsoftware durch Entertainment-Angebote ein, wie unser Bericht zeigt.

Daher sollte jeder bei der Installation von Drittanbieter-Funktionen auf seinem Smart Speaker immer ganz genau hinsehen und die Aufforderung zur Dateneingabe kritisch hinterfragen. Welche Möglichkeiten zur Erhöhung es darüber hinaus gibt, zeigt unser Experten-Special: Smart Home und Datenschutz – Wanzenfallen gezielt vermeiden.

Weitere Datenschutzspecials im Überblick

Smart Home Hacker: Angriffsziele, Folgen und Schutz-Strategien
Smart Home Sicherheit – wie sicher ist das smarte zu Hause?
Smart Home Schadsoftware – wie groß ist die neue Bedrohung?

Mehr Trends und News zum Smart Home

Wie gefällt Ihnen dieser Artikel?
gefällt das
Gefällt mir Gefällt mir nicht
Sie können den Artikel nur einmal bewerten.
Vielen Dank für Ihre Bewertung!
homeandsmart Redaktion Mariella Wendel

Sammelte schon im Studium Erfahrungen mit innovativen Ambient Assisted Living Geräten und bloggte viele Jahre darüber. Mariella Wendel gehört von Anfang an zum home&smart-Redaktionsteam und testete die Echo Lautsprecher bereits vor der Markteinführung in Deutschland. Außerdem verfasste sie 2017 die erste umfassende Übersicht Alexa kompatibler Geräte. Heute zählen außerdem Saugroboter, Smart Home Kameras und fernsteuerbare Gartengeräte zu ihren Lieblingsthemen.