Smarte Lautsprecher, die eine komfortable Sprachsteuerung in den eigenen vier Wänden ermöglichen, sind zwangsweise mit Mikrofonen ausgestattet und bieten Abhörfunktionen zur Erkennung und Umsetzung von Befehlen der BenutzerInnen an. Die Popularität und Verbreitung dieser zukunftsweisenden Systeme steigt. Während Kritiker die Lautsprecher als mögliche Überwachungseinrichtungen sehen, zieht mit den futuristisch anmutenden Systemen eine Spur von Science-Fiction in unsere Haushalte ein.
Externe Erweiterungen als Schwachstelle, um BenutzerInnen zu belauschen
Die bekanntesten Sprachsteuerungssysteme, Google Home („Okay Google!“) und Amazon Echo („Alexa!“), wurden von Sicherheitsforschern aus Berlin auf mögliche Schwachstellen untersucht. Google und Amazon versichern immer wieder, nur nach der bewussten Aktivierung Sprachaufnahmen zu verarbeiten. Den Forschern des „Security Labs Research“ gelang es jedoch, beide Systeme auch zum unerlaubten Abhören einzusetzen.
Die Achillesferse der Assistenzsysteme sind dabei Applikationen von externen AnbieterInnen. Die jeweiligen Ökosysteme wurden erst nachträglich über Schnittstellen für externer App-EntwicklerInnen geöffnet, um sie mit neuen Funktionen erweitern zu können. In mehreren Stufen konnten die Forscher eine solche App erweitern und aus einem eigentlich nur sprachaktivierten Assistenten eine dauerhafte Wanze zu machen. Auch eine zielgerichtete Abhörung auf frei vorzugebende Stichwörter war umsetzbar.
Abhören als Stufe eins, Voice-Phishing als Krönung
Mit der reinen Überwachung der BenutzerInnen gab man sich noch nicht zufrieden: Bei beiden Herstellern konnte die Applikation so verändert werden, dass die Lautsprecher aktiv nach Passwörtern fragten. Als beispielhafter Grund dafür wurde ein Sicherheitsupdate angegeben – wie viele BenutzerInnen hätten hier hinterfragt und das Passwort nicht verraten?
Sensibilisierung der NutzerInnen und EntwicklerInnen nötig
Nach der Meldung der gefundenen Schwachstellen an die Hersteller wurden die betroffenen Apps zwar rasch entfernt; ob die Sicherheitslücken dauerhaft geschlossen werden konnten, ist jedoch offen. Die Befürchtung, dass Sprachsteuerungssysteme zum Ausspionieren sensibler Informationen missbraucht werden können, bleibt als Worst-Case-Szenario bestehen. Eine kritische Abwägung des Nutzens und möglicher Risiken ist weiterhin empfehlenswert.
Die Ergebnisse der Sicherheitsforscher zeigen, dass zusätzliche Sicherheitsmechanismen sinnvoll sind, um einen Missbrauch zu erschweren. Inzwischen könnte es zielführend sein, smarte Lautsprecher nur an bewusst ausgewählten Stellen zu platzieren und sie zu deaktivieren, wenn sie nicht benötigt werden.