Der eine tut sie gleich vorweg als Wanze ab und warnt vor dem Einsatz von digitalen Sprachassistenten. Und ganz ehrlich, ein wenig beunruhigend ist es ja schon zu wissen, dass hier ein Gerät im Grunde immer lauscht, um bei Bedarf aktiv zu werden oder „weiterzuschlummern“. Nachfolgend soll darauf eingegangen werden, welche Sicherheitsbedenken bei Sprachassistenten eine Rolle spielen.

Unhörbare Sprachkommandos

Aktuell hören Sprachassistenten noch auf alle Kommandos, die ihnen zurufen werden – egal ob vom Besitzer oder einer anderen dritten Person. Was im Freundeskreis noch ein lustiger Zeitvertreib ist, ist bei einem anonymen Dritten schon durchaus problematischer.

Bereits im September 2017 geisterte die sogenannte Dolphin-Attack (Delfin-Angriff) durch die Tech-Medien. Hierbei demonstrierten chinesische Sicherheitsforscher, wie sie akustische Anweisungen im Ultraschall-Frequenzbereich an Sprachassistenten schicken konnten, ohne das es für den Menschen hörbar war.1 Erzeugt werden können solche Ultraschall-Frequenzen durch im Handel erhältliche Hochtöner. Der Mensch hört es nicht, die Sprachassistenten reagieren darauf aber. Laut den Forschern gelang damals der Delfin-Angriff gegen Siri, Google Now, Samsung S Voice, Huawei Hivoice, Cortana sowie Alexa. Ausgeführt wurden die nicht hörbaren Sprachbefehle durch einen Facetime-Anruf auf einem iPhone oder einer manipulierten Navigations-Software in einem Audi.

Der Nachteil der Delfin-Attacke: Man muss mit dem Ultraschall-Lautsprecher relativ nahe an dem zu attackierenden Sprachassistenten sein. Mit sehr aufwendiger Ausrüstung, gelang es beispielsweise Forschern der University of Illinois eine Reichweite von 7,50 Meter. Realistisch dürfte aber aktuell höchstens eine Entfernung von 1 bis 2 Metern sein.

In der c‘t Ausgabe 15 vom 07.07.2018 wurde beschrieben, wie man unter anderem mit Hilfe der Delfin-Attacke eine akustische Man-in-the-Middle-Attacke gegen Amazons Alexa durchführen kann. Die Erkenntnisse stammen aus einem Vortrag vom 27. Juni 2018 von der Design Automation Conference in San Francisco, wo dort das Wissenschaftler-Team rund um Prof. Ahmad-Reza Sadeghi von der TU Darmstadt die Attacke demonstriert haben.

Die Attacke besteht aus drei Grundpfeilern:

  1. Die ursprüngliche Anwender-Frage muss blockiert werden
  2. Die Anwender-Frage muss darüber hinaus analysiert und manipuliert werden
  3. Die manipulierte Anwender-Frage muss unbemerkt dem Sprachassistenten übermittelt werden (Delfin-Attacke)

Das Problem mit der zu kurzen Reichweite bei der Delfin-Attacke löst das Team um Prof. Ahmad-Reza Sadeghi damit, dass beim Angriffsszenario ein weiteres Smart-Home-Gerät im Raum ist, dass mit seinem Lautsprecher den benötigten Ultraschall für die Delfin-Attacke erzeugen kann. Mit einem kompromittierten Skill, der ebenfalls zu dem involvierten Smart-Home-Gerät gehört, kann nun Alexa manipuliert werden. Dabei hört das Smart-Home-Gerät ebenfalls auf das Aktivierungswort „Alexa“ und blockiert per Ultraschall-Störgeräusche den vom Menschen ausgesprochenen Befehl. Im gleichen Zuge wird ein manipulierter Befehl ebenfalls per Ultraschall an Alexa gesendet und der kompromittierte Skill damit aufgerufen. Dieser hat nun die Aufgabe, den eigentlichen menschlichen Befehl ad absurdum zu führen und so dem Angreifer ein Vorteil zu verschaffen. Will beispielsweise der Nutzer über Alexa seine Tür schließen, so könnte der Skill dies verhindern und darüber hinaus via Alexa (mit der bekannten Stimme!) dem Nutzer akustisch zu verstehen geben, dass die Tür nun geschlossen sei. Der Nutzer wäre damit in Sicherheit gewiegt, während es für einen Einbrecher nun ein leichtes ist, in das Haus bzw. die Wohnung einzusteigen. Erkennbar ist der Angriff für einen Nutzer nahezu nicht. Lediglich eine erhöhte Antwortzeit von Alexa könnte zu Misstrauen führen. Bisher ist dieser Angriff aber noch mit viel Aufwand verbunden und es handelt sich auch nur um einen Proof of Concept, also lediglich um einen Machbarkeitsnachweis, der für einen realen Einsatz noch weiterentwickelt werden müsste.

Quellen und Verweise