Die immer stärker an Bedeutung gewinnenden Sprachassistenten sollen uns das Leben erleichtern und uns nicht ausspionieren. Und dennoch sind die Möglichkeiten des Missbrauchs tatsächlich real. Erklärungen.
Nach einem Bericht des Canalys-Instituts werden im Jahr 2018 mehr als 56 Millionen Produkte im Bereich Sprachassistenz verkauft werden. Eingebunden in Smart Speaker (Apple HomePod, Google Home, Amazon Echo ...) dürften Siri, Google Assistant, Alexa, Cortana etc. somit sowohl im eigenen Zuhause als auch auf unseren Smartphones schnell allgegenwärtig werden. Eine wertvolle Hilfe, um das Leben zu erleichtern und Zeit zu sparen, die gleichzeitig aber auch angesichts der Hypervernetzung dieser Produkte und ihres geringen Sicherheitsniveaus eine Gefahr für die IT-Sicherheit darstellt.
In einem Artikel auf der Website Motherboard kommen die israelischen Forscher und Spezialisten für Cyber-Sicherheit Tal Be'ery und Amichai Shulman zu folgender bitteren Erkenntnis: „Wir haben immer noch die schlechte Angewohnheit, die Geräte mit neuen Schnittstellen zu versehen, ohne vollständig zu analysieren, wie sich dies auf die Sicherheit auswirkt“.
Vom Missbrauch in der Werbung bis zum Hack per Ultraschall
Jüngste Ereignisse geben ihnen Recht: Es wurden mehrere Fälle von Missbrauch oder Sicherheitslücken bei Sprachassistenten aufgedeckt.
Schon im April 2017 bot Burger King mit einem Werbespot von knapp 15 Sekunden guten Stoff für dieses Thema. Zu sehen ist ein Mitarbeiter der Fast-Food-Kette, der Googles Sprachassistenten fragt: „Ok Google, was ist ein Whopper?“, woraufhin die Sprachassistenten der Geräte der Zuschauer die Frage mit einer Beschreibung des berühmten Burgers aus Wikipedia beantworten.
Für einige ein genialer Coup; für viele andere aber wurden hierdurch die mit den Sprachassistenten verbundenen Risiken hervorgehoben. Tal Be'ery und Amichai Shulman haben übrigens gezeigt, dass ein Missbrauch noch heimtückischer sein kann. Den beiden Sicherheitsforschern ist es tatsächlich gelungen, die Sperre von Windows-Rechnern mit Spracheingaben über Cortana, dem in Windows 10 integriertem Sprachassistenten, zu umgehen. Wie war dies möglich? Sie haben sich die Tatsache zu Nutzen gemacht, dass dieser Sprachassistent immer aktiv ist und auch auf bestimmte Sprachbefehle reagiert, wenn die Rechner gesperrt sind.
If you're using iOS, disable Siri.
If you're using Windows, disable Cortana.
These "assistant" apps are routinely abused to hack in or get around protections. https://t.co/oTGzMAsBYh
— Lorenzo Franceschi-Bicchierai (@lorenzoFB) 6 mars 2018
Chinesische Forscher haben eine noch durchtriebenere Technik entwickelt, um Sprachassistenten zu hacken, und zwar den sogenannten Delphin-Angriff, der sich der Ultraschalltechnik bedient und Sprachbefehle in einem für Menschen unhörbaren Bereich über das Mikrofon des Computers an den Sprachassistenten sendet. Auf diese Weise konnten die meisten Sprachassistenten ferngesteuert aktiviert werden.
Eine andere Sicherheitslücke, die nicht nach dem Geschmack von Apple war, ist die Umgehung der Datenschutzfunktion, mit welcher Nachrichteninhalte auf dem Lock-Screen der Geräte versteckt angezeigt werden. Auch hier fungiert der Sprachassistent, in diesem Fall Siri, als Trojanisches Pferd. Auf der brasilianischen Website Mac Magazine wurde aufgedeckt, dass jedermann Zugriff auf die versteckten Nachrichten erhalten kann, indem er Siri auffordert, diese laut vorzulesen.
Sensibilisierung und Verschlüsselung als einzige sofort verfügbaren Gegenmaßnahmen
„Da sie im Prinzip immer aktiviert sind, stellen die Mikrofone dieser Sprachassistenten, insbesondere über die vernetzten Lautsprecher, ein echtes Problem für den Datenschutz dar“, bestätigt Paul Fariello, Technical Leader bei Stormshield. Dann schwächt er seine Aussage leicht ab: „Aber das Risiko ist gering, wenn man bedenkt, dass viele andere herkömmlichen Techniken wie Ransomware (Erpressersoftware) und Phishing viel einfacher von Cyberkriminellen eingesetzt werden können. Die Verschlüsselung von sensiblen Daten zum Schutz vor Missbrauch im Fall eines Diebstahls kann die Risiken begrenzen.“
Bisher beschränken sich die Hersteller darauf, von Fall zu Fall zu agieren und zu korrigieren. „Technologische Gegenmaßnahmen auf diese Art von Problemen gibt es noch nicht, ausgenommen die Sensibilisierung der Benutzer, der jedoch gewisse Grenzen gesetzt sind“, erklärt er weiter. Es ist derzeit wegen der geschlossenen Bauweise dieser Systeme noch nicht möglich, zusätzliche Sicherheitslösungen in die vernetzten Geräte wie Smart Speaker zu integrieren. Angesichts der blühenden Phantasie von Hackern scheint die beste Option daher die sichere Softwareentwicklung nach dem Security by Design-Prinzip zu sein. Hier sind die Hersteller gefordert. Nach dem digitalen Fingerabdruck können wir uns gut vorstellen, dass ein Stimmabdruck zum neuen biometrischen Sesam-öffne-dich wird und es ermöglicht, die Personen zu identifizieren, die für den Zugriff auf die Sprachassistenten berechtigt sind.
Ok Google, ruf Stormshield an.
