Sprach-Hacks am Handy

Forscher haben gezeigt, dass Datenschädlinge auf PCs und Mobilgeräten Sprachsynthese nutzen könnten, um Sicherheitsmaßnahmen zu umgehen.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Lesezeit: 3 Min.
Von
  • David Talbot

Forscher haben gezeigt, dass Datenschädlinge auf PCs und Mobilgeräten Sprachsynthese nutzen könnten, um Sicherheitsmaßnahmen zu umgeben.

Systeme zur Sprachsteuerung erleichtern die Benutzung von Desktop-Rechnern, Tablets und Smartphones – und erlauben einen barrierefreien Zugang für Menschen mit Behinderung. Sie können so die grafische Benutzerschnittstelle bedienen, ohne tippen zu müssen.

Wie Forscher am Georgia Institute of Technology nun herausgefunden haben, lassen sich solche Technologien aber auch durch Angreifer missbrauchen, die an die auf den Geräten vorhandenen Daten gelangen wollen. Schlimmstenfalls lassen sich Sprachkommandos direkt durch Datenschädlinge nutzen, um Texte einzugeben oder Knöpfe virtuell zu klicken, ohne dass der User dies überhaupt mitbekommt.

In ihrer Studie zeigten die Computerwissenschaftler ein Dutzend verschiedener Methoden, mit denen sie Android- und iOS-Geräte sowie PCs mit Windows und Ubuntu Linux angreifen konnten. Allerdings setzten einige der entdeckten Lücken den direkten physikalischen Zugriff durch den Angreifer voraus.

So führten die Forscher vor, wie man die in Windows eingebaute Spracherkennung nutzen kann, um Kommandos auf einem Laptop auszuführen, für die normalerweise höhere Zugriffsrechte benötigt werden. In einer weiteren weiteren Demonstration installierten sie Malware auf einem Smartphone, die den auf Android-Geräten möglichen Schutz durch ein Sprachpasswort aushebelte.

Radu Sion, Direktor des National Security Institute an der Stony Brook University, meint, dass die Studie "ein wichtiger Weckruf" für Betriebssystemanbieter wie Microsoft, Google und Apple, aber auch die Linux-Entwickler-Community sei.

Wenke Lee, Computerwissenschaftler am Georgia Institute of Technology, der die Untersuchung geleitet hat, meint, die Probleme seien das Ergebnis der Tatsache, dass Verfahren wie der Spracherkennung oft erst spät im Entwicklungsprozess Beachtung geschenkt würde. "Ich denke, es gibt hier ganz fundamentale Probleme, die sich nur schwer lösen lassen." Lee zufolge durchlaufen viele der Funktionen zur Barrierefreiheit nicht die gleichen Sicherheitsüberprüfungen wie der Rest des Betriebssystems.

Hacker könnten die Lücken auch aus der Ferne ausnutzen, um einen Angriff zu starten oder ihre Rechte auf einem bereits gehackten Gerät auszuweiten, meint Lee. Dass Nutzern ein Smartphone, dass plötzlich mit sich selbst zu sprechen scheint, auffallen könnte, ist dabei kein großes Problem. Malware kann so schlau sein, dass sie zunächst abwartet, bis sich das Gerät über einen längeren Zeitraum nicht mehr bewegt hat, um dann erst Sprachkommandos abzusetzen – weil das dafür spricht, dass der Besitzer gerade nicht in der Nähe ist. Technisch ist das dank der in fast allen modernen Handys verbauten Beschleunigungssensoren, die auch Anwendungen mit wenigen Rechten nutzen dürfen, kein Problem. (bsc)