Alexa: Akustische Man-in-the-Middle-Attacke gegen Amazons Sprachassistenten

Per Ultraschall lassen sich Alexa-Anfragen stören und manipulieren. Ein Proof of Concept belegt: Die lügende Alexa ist ein technisch realisierbares Szenario.

Artikel verschenken

16.08.2018, 09:51 Uhr

Lesezeit: 8 Min.

c't Magazin

Von

Arne Grävemeyer

Alexa: Akustische Man-in-the-Middle-Attacke gegen Amazons Sprachassistenten
- Hacking im Laborbetrieb
- Unhörbare Sprachkommandos
- "Lügende Alexa" per Man-in-the-Middle-Angriff
- Lauschender IoT-Trojaner
- PIN-Absicherung zwecklos
- Evil Skill kommuniziert mit Alexa Voice Service
- Wenn Alexa länger grübelt ...
- Hoher Aufwand
- Rudimentärer Vetting-Prozess

Artikel in c't 15/2018 lesen

Alexa könnte durch Hacker kompromittiert werden. Das ist eine Aussage, die beunruhigt, aber durchaus realistisch ist. So lassen sich beispielsweise Smart-Home-Anwendungen manipulieren. Bittet der Anwender etwa: "Alexa, schließe die Haustür!", so antwortet Alexa in diesem Fall nach kurzem Zögern: "Ich habe die Haustür geschlossen." Tatsächlich wurde sie aber geöffnet. Selbst von Alexa verlesene Protokolleinträge können gezielt gelogen sein. Dabei kommen die Antworten direkt vom Amazon Voice Service (AVS), Stimme und Sprechweise sind original.

Hacking im Laborbetrieb

Eine derartige Konfiguration kann man am System Security Lab des CYSEC an der TU Darmstadt im Laborbetrieb beobachten. Das Wissenschaftler-Team um Prof. Ahmad-Reza Sadeghi hat einen Proof of Concept konzipiert und aufgebaut, mit dem ein Echo-Lautsprecher kompromittiert wird. Ihre Erkenntnisse haben sie am im Juni 2018 auf der Design Automation Conference in San Francisco erstmals der Öffentlichkeit vorgestellt. Prinzipiell seien alle Alexa-Smart-Speaker auf diese Weise angreifbar.

Für eine akustische Man-in-the-middle-Attacke gegen einen Sprachassistenten müssen drei Bedingungen erfüllt sein. Zum einen muss die ursprüngliche Anwender-Frage blockiert werden. Zugleich muss der Angreifer diese Anfrage auffangen und analysieren, und schließlich muss er unbemerkt eine manipulierte Anweisung an den Sprachassistenten übermitteln.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

VanMoof S5 im Test: Smartes E-Bike mit Hollandrad-Feeling

Das VanMoof S5 tritt als entspanntes E-Bike mit starkem Motor und gemütlichem Fahrgefühl an. Wir haben die überarbeitete Version des Cruisers getestet.

Fahrrad zum E-Bike aufrüsten

Sony Xperia 1 VI mit Zoomkamera im Test

In der sechsten Auflage passt Sony das Xperia 1 etwas an den Smartphone-Mainstream an. Dennoch liefert es vieles, was das Gerät vom restlichen High End abhebt.

openDesk: Hat die staatliche Microsoft-Alternative eine Chance?

Die Bundesregierung finanziert eine Open-Source-Office-Suite, um den Staat aus der Abhängigkeit von Microsoft zu befreien. Doch das Projekt ist gefährdet.

Smartwatch als Navi: Mit diesen Apps klappt die Routenführung am Handgelenk

Spezielle Outdoor-Apps verwandeln gewöhnliche Smartwatches in Navis inklusive Kartendarstellung. Drei bewährte Apps mit jeweils eigenen Stärken im Vergleich.

Windows on ARM: Zehn Notebooks mit Copilot+ und Snapdragon X im Vergleichstest

Die ersten Windows-Notebooks, die Microsofts KI-Vision hinsichtlich Copilot+ entsprechen, drücken in den Markt. Wir haben die Geräte ausführlich getestet.

Volvo EX30 im Test: E-Auto mit Android Automotive

Volvos EX30 macht einiges anders und besser als andere Stromer und auch das Preis-Leistungs-Verhältnis ist gut. Einige Kleinigkeiten trüben aber den Spaß.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}