Smarte Schnüffler: Reguläre Apps können Google und Alexa zu Abhör-Stationen machen

Es ist bekannt, dass es bei Smart-Assistenten wie Google Assistent und Alexa immer wieder zu Datenpannen kommt. Jetzt haben Berliner Hacker aber gezeigt, dass man mit manipulierten Apps die Nutzer sogar um ihr Passwort bringen kann – das kuriose: Die Apps haben allesamt die App-Prüfungen von Google und Amazon überstanden.

Die Sicherheitsspezialisten von SRLabs aus Berlin haben dazu sogenannte „Skills“ (Alexa) und „Actions“ (Google) verwendet. Das sind kleine Programme, die die Funktionen der Smart-Speaker erweitern. Vorstellen kann man sich die wie Plugins und Erweiterungen für Browser.

Die Mitarbeiter haben dabei große Lücken im Datenschutz aufgetan: So können sie den Nutzer per Sprachbefehl dazu bringen, sein Passwort anzugeben (Voice-Phishing, vishing). Außerdem lassen sich Nutzer unbemerkt mithören.

Manipulation mit offiziellen Werkzeugen möglich

SRLabs hat insgesamt 8 Apps erstellt, die vom Nutzer über einen vom Entwickler festgelegten Befehl aktiviert werden (z.B. „turn on MyHoroscope“). Danach lassen sich Funktionen aufrufen (z.B. „Tell me my Horoscope for today“).

Die Berliner schafften es allerdings auch, die Apps so zu manipulieren, dass sie den Nutzer zur Passwort-Eingabe auffordern. Das Mikrofon kann zudem weiter mithören, selbst wenn der Nutzer denkt, die App ist ausgeschaltet. Für die Apps wurden nur Standard-Entwicklungsumgebungen verwendet und keine zusätzlichen Tools.

Für die Manipulation haben die Entwickler den Code der Apps erst nach der Zulassung in den beiden App-Stores geändert. Für so eine nachträgliche Änderung ist bei Google und Amazon keine weitere Überprüfung notwendig – ein fataler Fehler, wie sich zeigt.

Die folgenden Videos zeigen, wie die Phishing-Apps in der Praxis funktionieren:

Bitte aktivieren Sie Personalisierungs-Cookies, um sich dieses Video anzusehen.

Bitte aktivieren Sie Personalisierungs-Cookies, um sich dieses Video anzusehen.

Die Funktion der Abhör-Apps werden in diesen beiden Videos demonstriert:

Bitte aktivieren Sie Personalisierungs-Cookies, um sich dieses Video anzusehen.

Bitte aktivieren Sie Personalisierungs-Cookies, um sich dieses Video anzusehen.

App Stores haben viele Lücken

Apps mit vorinstallierter Malware oder Betrug mit Werbung auf Android. Microsoft kämpfte im Juli mit rund 100 Millionen falschen Werbebannern, die über den Windows-10-App-Store ausgeliefert wurden. Das sind nur einige Meldungen der letzten Monate.

Hacker schaffen es immer wieder, die Sicherheits-Maßnahmen von App Stores zu umgehen. Bei täglich tausenden neuen Apps in den Stores lässt sich eine Überprüfung oft nur über automatisierte Algorithmen realisieren. Wie der jetzige Fall zeigt, haben die Stores aber auch ganz wesentliche Design-Fehler.