Sicherheitstipps zu Google Home und Amazon’s Echo Dot

Intelligente Lautsprecher, auch bekannt als Smart-Home-sprachgesteuerte Assistenten, gibt es in vielen verschiedenen Formen und Größen und sind in den letzten Jahren sehr populär geworden. Nach Smartphones sind sie der nächste große Schritt für Sprachassistenten.

Um es einfach auszudrücken: Sie sind Musiklautsprecher, kombiniert mit einem Spracherkennungssystem, mit dem der Benutzer interagieren kann. Benutzer verwenden ein Weckwort, wie "Alexa" oder "Ok Google", um den Sprachassistenten zu aktivieren und können dann mit dem intelligenten Sprecher nur mit ihrer Stimme interagieren. Sie können Fragen stellen oder verlangen, dass sie Musik abspielen, Rezepte auslesen und andere intelligente Geräte steuern. Einige dieser Geräte sind auch mit Kameras ausgestattet, die ferngesteuert werden können, während andere Geräte es Ihnen ermöglichen, Online-Einkäufe nur mit der Stimme zu erledigen.

Der Markt wird derzeit von Amazons Echo-Sortiment dominiert, das einen Marktanteil von 73 Prozent hat, mit mehr als 20 Millionen Geräten allein in den USA, gefolgt von Google Home. Apples HomePod wird voraussichtlich im Dezember 2017 auf den Markt kommen, während Microsoft Cortana bereits in zahlreiche Lautsprecher von Drittanbietern integriert wurde.

Aber wie steht es um die allgemeine IT-Security, den Schutz der Privatsphäre und der Online-Sicherheit bei diesen intelligenten Lautsprechern? Das Spektrum der Aktivitäten, das von intelligenten Sprachassistenten durchgeführt werden kann, bedeutet, dass ein Angreifer oder sogar nur ein ungeschickter Freund oder Nachbar, potentiellen Schaden anrichten könnte, wenn sie einen entsprechenden Zugang dazu hätten.

Symantec hat zu diesem Thema neue Erkenntnisse über Datenschutz- und Sicherheitsfragen rund um Google Home, Amazon Echo etc. zusammengestellt.

Die wichtigsten Erkenntnisse:

• Die größte Gefahr für die Sicherheit sprachgesteuerter Lautsprecher geht von anderen Menschen aus, die Zugang zu dem smarten Gerät haben. Angreifer, die sich Zugang zu lokalen Netzwerken verschaffen, können zudem beispielsweise die Einstellungen von verknüpften Google Home-Geräten verändern oder sie zurück auf Werkseinstellungen setzen.
• Datenschutzrechtliche Fragestellungen gehören zu den größten Schwierigkeiten: Wenn der verknüpfte E-Mail Account gehackt wurde, können Angreifer das Gerät nutzen, um die Betroffenen auszuspionieren.
• Der wahrscheinlichste Angriffspunkt sind Schwachstellen in Streaming-Diensten. Bislang hat Symantec allerdings noch keinen solchen Angriff registriert.
• Neben anderen Personen können auch TV-Geräte, Radios, Websites und andere sprachgesteuerte Lautsprecher (ungewollt) Geräte manipulieren und unerwünschte Aktionen auslösen.

Einige Sicherheitsempfehlungen für den Umgang mit smarten Lautsprechern und Sprachassistenten.

• Verbinden Sie nur die Accounts mit dem Sprachassistenten, die Sie wirklich benötigen. Legen Sie gegebenenfalls einen neuen Account an, wenn Sie keinen Zugang zu Ihrem Kalender oder Adressbuch benötigen.
• Schützen Sie den mit dem Sprachassistenten verknüpften Account mit einem starken Passwort und wenn möglich mit einer Zwei-Faktor-Authentifizierung.
• Nutzen Sie Zuhause ein zumindest mit WPA2 verschlüsseltes WLAN-Netzwerk, anstelle eines offenen Hotspots. Richten Sie für Gäste und ungesicherte vernetzte Heimgeräte einen Gästezugang ein.
• Verwenden Sie den Sprachassistenten nicht, um sensible Informationen wie Passwörter und Kreditkarteninformationen zu speichern.
• Schalten Sie die Kauffunktion aus, wenn Sie diese nicht benötigen bzw. setzen Sie ein spezielles Passwort für die Kauffunktion ein.
• Begrenzen Sie den Sprachassistenten wenn möglich auf Ihre eigene Stimme.
• Auch wenn dies die Servicefähigkeiten des Assistenten behindert: Löschen Sie sensible Aufzeichnungen in regelmäßigen Abständen.

Fazit

Bisher hat Symantec noch keine Masseninfektion von Smart-Lautsprechern mit Malware gesehen, und es ist eher unwahrscheinlich, dass dies in nächster Zeit passieren wird, da diese Geräte nicht direkt über das Internet erreichbar sind. Fast alle bestehenden Angriffe beruhen auf dem Missbrauch offizieller Befehle und nicht auf einer Code-Änderung, der auf den Geräten durch einen Exploit ausgeführt wird. Da die gesamte Befehlsinterpretation die Backend-Server durchläuft, können zudem die Provider bösartige Trigger-Sequenzen herausfiltern.

Allerdings besteht die Gefahr, wie immer bei Software, dass einige der Dienste, wie häufig verwendete Musik-Streaming-Services, eine Schwachstelle haben und dass das Gerät dadurch kompromittiert werden könnte. Eine weitere Schwachstelle ist Bluetooth. Z.B. wurde bei den Bluetooth-Problemen, die auch als BlueBorne bekannt sind, gezeigt, dass es für einen Angreifer möglich ist, einen intelligenten Lautsprecher zu übernehmen, wenn er sich in Reichweite befindet. Glücklicherweise wurden die BlueBorne-Schwachstellen inzwischen von Google und Amazon gepatcht. Daher sollten alle Geräte die eine automatische Aktualisierungsfunktion verwenden, auch auf dem neuesten Stand sein.