Forscher der Berliner Security Research Labs (SRLabs) haben Apps entwickelt, mit denen sich Nutzer eines Amazon Echo oder Google Home unbemerkt abhören lassen. Es gelang ihnen auch, die Sicherheitskontrollen von Amazon und Google zu überlisten und die Apps damit in Umlauf zu bringen. Beide Unternehmen teilten dem SPIEGEL mit, ihre Überprüfungsmethoden mittlerweile verbessert zu haben.
Die SRLabs-Forscher hatten harmlos erscheinende Apps, die bei Amazon „Skills“ heißen und bei Google „Actions“ oder „Aktionen“, nach der Sicherheitskontrolle verändert. Eine erneute Überprüfung fand nicht statt. Die Apps konnten Nutzeranfragen zum Beispiel nach einem Horoskop beantworten und täuschten anschließend durch passende Signale ihre Inaktivität vor. Tatsächlich aber zeichneten sie auf, was Nutzer in ihrer Nähe als nächstes sagten und sendeten es an die Forscher. Für den Amazon Echo mussten die Entwickler Aktivierungswörter wie „Ich“ festlegen, um die Aufzeichnung zu starten, beim Google Home war das nicht nötig.
Mit einer anderen App konnten die Forscher versuchen, an die Passwörter der Amazon- und Google-Nutzer zu gelangen.
Zwar müssten Besitzer eines Echo oder Google Home solche Anwendungen erst einmal unter den Tausenden von Skills und Aktionen finden und benutzen. Außerdem zeigen LED an den Geräten an, ob sie aktiv sind und vermeintliche Kommandos aufzeichnen. Wer das nicht weiß oder übersieht, könnte aber unbemerkt überwacht werden, so lange er in Reichweite der Mikrofone der Lautsprecher ist.
Die SRLabs-Forscher informierten die Unternehmen über ihre Versuche, die daraufhin reagierten. „Wir haben Schutzmaßnahmen ergriffen, um diese Art von Skill-Verhalten zu erkennen und zu verhindern. Skills werden abgelehnt oder entfernt, sobald ein solches Verhalten identifiziert wird“, teilte Amazon dem SPIEGEL mit. Eine Google-Sprecherin schrieb auf Anfrage: „Wir untersagen und entfernen jede Action, die gegen unsere Richtlinien verstößt.“ Die von den Forschern entwickelten Actions habe Google gelöscht. „Wir setzen zusätzliche Mechanismen ein, um derartiges in Zukunft zu unterbinden.