Amazons Echo und auch der Google Home-Smart Speaker können missbraucht werden, um Nutzer zu belauschen und sogar nach deren Passwörtern zu spitzeln. Wenn euch euer Alexa nach eurem Amazon-Passwort fragt, solltet ihr es also auf keinen Fall verraten.
Eine bemerkenswerte Sicherheitslücke haben unlängst Spezialisten des deutschen Sicherheitsunternehmens Security Research Labs aufgedeckt. Sie betrifft die Smart Speaker von Amazon und Google. Der Echo kann unterwandert werden, um etwa nach dem Passwort von Anwendern zu fragen. Laut der Arbeit von Luise Frerichs und Fabian Bräunlein steckt das Problem in einer Anfälligkeit für eine bestimmte Zeichenfolge. Wenn die in einen Alexa-Skill oder eine Google Home-Routine eingebracht wird, kann diese anschließend so tun, als wäre sie abgeschaltet. Tatsächlich aber läuft sie weiter und der Angreifer kann zudem auch deren Sprachausgabe manipulieren. Auf das Mikrofon hat er dann ebenfalls Zugriff. Dies kann der Nutzer allerdings an der blauen Status-LED von Alexa erkennen.
Amazon hat das Problem noch nicht behoben
So kann der Angreifer einerseits das Echo-Gerät oder den Google Home dazu nutzen, den Nutzer zu belauschen. Er kann aber auch fingierte Aufforderungen zur Preisgabe seines Amazon- oder Google-Passworts senden. Google hat inzwischen reagiert und die entsprechende Lücke geschlossen, doch Amazon zeigte sich laut Angabe der Forscher hier seit Monaten passiv. Sollte euer Echo euch also eines schönen Tages nach eurem Passwort fragen, solltet ihr nicht antworten.