Smartphone-Sprachsteuerung kann teuer werden

"Ok, Google: Wähle teure Premium-Rufnummer.“ Manche Sprachbefehle würde ein normaler Nutzer niemals ausführen, Angreifer könnten sie aber nutzen, um Smartphones ohne das Wissen ihrer Eigentümer zum Beispiel teure Rufnummern anwählen zu lassen. Chinesische Forscher haben eine Methode veröffentlicht, auch ganz ohne Rechte Kommandos auf Android-Geräten auszuführen.

Einer Forschungsarbeit zufolge entwickelten sie ein Programm namens VoicEmployer, das beispielsweise mit aufgezeichneten Sprachbefehlen den digitalen Assistenten Google Now dazu bringen kann, Telefonnummern anzurufen. Dazu spielt es im Hintergrund eine Audiodatei mit "Rufe 12345 an" ab, den die über den Intent-Mechanismus von Android im Vordergrund laufende Google Voice Recognition als Sprachbefehl interpretiert und ausführt.

Die Verfasser des Bericht gaben an, mit ihrem Programm auch SMS und E-Mails fälschen oder persönliche Nutzerinformationen abrufen zu können. Ziel des Forschungsprojekts sei gewesen, die möglichen Gefahren aufzuzeigen, die von sogenannten Zero-Permission-Apps ausgehen. Das sind Programme, die über Androids Rechteverwaltung keinerlei Zugriffsrechte anfordern – also insbesondere keinen Zugriff auf Telefon- und SMS-Funktionen haben sollten. Nach Ansicht der Wissenschaftler zeige ihre App, die ohne Berechtigungen auskommt, dass auch solche Programme ein Sicherheitsrisiko sein können.

Den Angaben zufolge funktioniert die GVS-Attack genannte Methode nur bei Telefonen zuverlässig, die nicht durch einen Sperrcode geschützt sind. Als Schutz vor Apps in denen Programme mit ähnlichen Funktionen wie VoicEmployer versteckt sein könnten, sollten Nutzer also ihr Telefon mindestens mit einem Sperrcode sichern. Außerdem sollten nur Programme aus vertrauenswürdigen Quellen wie Googles Playstore und anderen offiziellen Appstores installiert werden.

(Mit Material der dpa)/ (axk)