Security bei Google Home, Amazon Echo & Co.

Wie Smart Speaker Hacker einladen

02.03.2018
Von 

Martin Hron ist Security Researcher bei Avast und hat sich vor mehr als 20 Jahren der IT verschrieben. Zu seinen Hauptaufgaben gehören neben der klassischen Malware-Analyse auch die Hardware-Virtualisierung. Darüber hinaus beschäftigt er sich intensiv mit den Sicherheitsaspekten der künstlichen Intelligenz und des IoT.

Google Home, Amazon Echo und Konsorten sollen unser Leben bequemer machen. Doch auch kriminelle Hacker erfreuen sich am "Komfort", den ungesicherte Smart Speaker bieten.

Smart Speaker wie Google Home oder Amazons Echo erobern nach und nach die deutschen Haushalte. Sie läuten pünktlich den Arbeitstag ein, spielen Musik ab und erledigen Online-Einkäufe. 11,7 Prozent der deutschen Haushalte sind laut Einschätzung des Statista Digital Market Outlooks sogenannte Smart Homes. Damit sind Haushalte gemeint, in denen eine oder mehrere Smart-Home-Lösungen zum Einsatz kommen.

So hilfreich Smart Speaker auch sein können - die schiere Menge an persönlichen und vertraulichen Daten, die darauf gespeichert sind, sowie die allgemein wachsende Beliebtheit von Smart-Home-Geräten machen die smarten Lautsprecher zu einem verlockenden Ziel für kriminelle Hacker.

Wer braucht schon Einbruchswerkzeug, wenn Google Home, Amazon Echo und Co. ganz bequem auf Befehl das Tor zum Smart Home öffnen?
Wer braucht schon Einbruchswerkzeug, wenn Google Home, Amazon Echo und Co. ganz bequem auf Befehl das Tor zum Smart Home öffnen?
Foto: Alexander Kirch - shutterstock.com

Persönliche E-Mails als Hörbuch

Daher ist es auch lediglich eine Frage der Zeit, bis die Smart Speaker zur Zielscheibe (zumindest) zweifelhafter Absichten werden. Die Werkseinstellungen stellen in der Regel eine schlechte Absicherung dar, da sie auf Komfort ausgelegt sind - und zwar ab dem Moment der Ankunft beim Besitzer: Die Ersteinrichtung dauert nur wenige Minuten. Das mag der Bequemlichkeit dienen, stellt aber ein erhebliches Sicherheitsrisiko dar. Wie man einen Smart Speaker einrichtet und welchen Handlungsspielraum man ihm gibt, ist an dieser Stelle entscheidend. Viele Nutzer denken vermutlich gar nicht erst darüber nach, die Werkseinstellungen zu verändern - entweder, weil sie sich der Sicherheitsrisiken nicht bewusst sind oder weil sie sich darauf verlassen, dass das Gerät natürlicherweise vom Hersteller mit entsprechenden Sicherheitsvorkehrungen ausgestattet wurde.

Bei der Einrichtung verbinden viele Nutzer gleich mehrere Online Accounts mit dem Smart Speaker - etwa ihr Amazon-Konto, Gmail, den Google-Kalender oder Spotify - unter Beibehaltung der Werkseinstellungen. Dieses scheinbar harmlose Handeln kann schwerwiegende Folgen haben: Ohne eine sichere Anmeldung - sprich ohne den Smart Speaker so zu konfigurieren, dass er überprüft, ob die eingehenden Befehle tatsächlich vom Besitzer des Geräts stammen - kann der Lautsprecher etwa E-Mails vorlesen oder Bestellungen abgeben - unabhängig davon, wer ihn dazu auffordert. Damit können nicht nur Familienmitglieder, sondern auch jeder Besucher eines Haushalts (ob eingeladen oder nicht) dem Gerät persönliche Daten entlocken.

"Alexa, wirst Du ferngesteuert?"

Hacker müssen sich nicht in Reichweite eines Smart Speakers wie Amazon Echo befinden, um ihm Befehle zu erteilen. Tatsächlich müssen sie nicht einmal das Gerät selbst hacken. Cyberkriminellen reicht bereits eine Sicherheitslücke im Router, um sich Zugang zum Netzwerk zu verschaffen und von dort aus die verbundenen IoT-Geräte zu kompromittieren. Wenn erst ein anderes Smart-Home-Gerät gehackt wird, das Aufnahmen abspielen kann, können Kriminelle den smarten Lautsprecher mit Sprachbefehlen steuern. Wurde dieser bei der Einrichtung schwach (oder nicht) abgesichert, wird er zum willenlosen Spielzeug der Cyberkriminellen. Diese könnten Google Home oder Amazon Echo beispielsweise dazu nutzen, sich Zutritt zum Haus des Besitzers zu verschaffen. Ist ein Smart Speaker mit einer elektronischen Türverriegelung verbunden, so könnte ein Einbrecher dem Lautsprecher entweder durch ein Fenster befehlen die Tür zu öffnen oder sich über das Heimnetzwerk in ein anderes Gerät einwählen, um dieses dazu zu bringen, dem Smart Speaker den Befehl zum Öffnen der Haustür zu erteilen.

Warten auf den Hack

Dass Smart Speaker zur Zielscheibe von Hackerangriffen werden, ist (wie bereits erwähnt) vorprogrammiert. Kriminelle werden dazu vermutlich bislang unbekannte Schwachstellen ausnutzen. Bereits im vergangenen Jahr wurde die BlueBorne-Sicherheitslücke entdeckt. Dem Bundesamt für Sicherheit in der Informationstechnik zufolge waren bis zu fünf Milliarden Geräte mit Bluetooth-Funktion von dieser Schwachstelle betroffen. Unter anderem konnten auch die Smart Speaker von Amazon gehackt werden. Schwachstellen wie diese werden oft erst Jahre später gefunden - was heißt: Die Geräte, die jetzt schon auf dem Markt sind, könnten ebenfalls unsicher sein.

Ein Beispiel für eine Sicherheitslücke, die erst Jahre später ans Licht kam, ist EternalBlue - ein Exploit, der Programmierfehler in Microsoft Windows-Betriebssystemen ausnutzt. Der breiten Öffentlichkeit wurde die Schwachstelle bekannt, da sie Angreifern ermöglichte, die größte Ransomware-Attacke in der Geschichte durchzuführen. Berichte legen nahe, dass die NSA EternalBlue entdeckt hatte und geheim hielt - für wie lange, ist nicht bekannt. Ebenso wenig wie niemand weiß, wie lange sie vor ihrer Behebung von wem ausgenutzt wurde. Fällt eine Schwachstelle nämlich zuerst Cyberkriminellen auf, haben sie die Möglichkeit, ungehindert verheerenden Schaden anzurichten.

Sicherheit vor Bequemlichkeit

Mit rasanten Verbreitung der Smart Speaker wächst auch die Gefahr möglicher Hacks. Je mehr wir uns mit IoT-Geräten umgeben, desto größer ist der Anreiz für Cyberkriminelle, diese auch ins Visier zu nehmen. Die Sicherheitsrisiken von intelligenten Geräten im Allgemeinen und Smart Speakern im Speziellen müssen stärker ins Bewusstsein gerückt werden. Nutzer müssen über die Risiken aufgeklärt werden, die beispielsweise damit verbunden sind, die Werkseinstellungen dieser Geräte beizubehalten.

Dass Handlungsbedarf besteht, zeigt auch eine Studie zum Thema IoT- beziehungsweise Smart-Home-Sicherheit: Hundertausende IoT-Geräte weisen Schwachstellen auf. Und das, obwohl kriminelle Hacker nur ein einziges, ungeschütztes Gerät benötigen, um aus einer Vielzahl von Devices ein riesiges Botnetz zu kreieren, das fortan für kriminelle Aktivitäten ferngesteuert wird.

Merke: Gerade bei IoT-Devices sollten Sie die Sicherheitsoptionen ausreizen und sie nicht zugunsten der Bequemlichkeit außer Acht lassen. Denn das erleichtert nicht nur Ihnen, sondern auch kriminellen Hackern das Leben. (fm)