Die Sprachsteuerungs-Features in Smartphones und anderen modernen Endgeräten gewähren deren Nutzern zwar mehr Bedienungsfreiheiten, stellen aber auch eine signifikante Sicherheitsgefahr dar. [...]
Cyber-Kriminelle können die Schwachstellen der noch relativ neuen Technologien besonders leicht ausnutzen, um sich Zugriff auf persönliche Daten zu verschaffen, böswillige Nachrichten zu verschicken oder sonstigen Schaden für die betreffenden User anzurichten. Zu diesem ernüchternden Ergebnis kommt eine aktuelle Analyse des Security-Experten AVG. Dieser kritisiert vor allem die mangelnden Sicherheitskontrollen bei der Sprachbefehleingabe und fordert die Hersteller dringend zum Nachbessern auf.
„Smartphones und Wearable-Geräte haben eine völlig neue Welt eröffnet, was die Interaktion zwischen Menschen und Computern betrifft“, stellt Yuval Ben-Itzhak, Chief Technology Officer bei AVG, auf dem Forschungs-Blog des Unternehmens fest. Sicher, es sei ein Vorteil, dass die Bedienung heute über das „bloße Erheben der Stimme“ möglich ist. „Dadurch lassen sich wichtige Dinge erledigen und man hat die Hände frei“, betont der Sicherheitsfachmann, der in diesem Zusammenhang auch auf sogenannte sprachaktivierte persönliche Assistenten à la „Siri“ oder „Google Now“ verweist. „Beide Technologien können Stimmen aufzeichnen, Sprache in Texte übersetzen und zum Ausführen von Befehlen – vom Telefonat über SMS-Nachrichten bis zu E-Mails und vieles mehr – eingesetzt werden“, erläutert Ben-Itzhak.
Aber: „Diese Technologien sind zwar aufregend, aber bei weitem nicht so sicher, wie wir glauben“, bringt der AVG-Experte die Problematik auf den Punkt. Zum Beispiel seien entsprechende Features nicht gut genug auf die individuelle Stimme der User eingestellt. „Im Grunde kann jeder über Google Now auf Ihrem Handy telefonieren, SMS verschicken oder anderen Unsinn anstellen“, warnt Ben-Itzhak: „Diese Technologien müssen wesentlich sicherer werden und genauer überprüfen, wer da überhaupt spricht!“
Den Beweis der mangelnden Sicherheit von Sprachsteuerungs-Funktionen hat Ben-Itzhak gleich selbst erbracht. So hat er eigenen Angaben zufolge mit „minimalem Aufwand“ eine gefälschte, synthetische Stimme erstellt, die jener des ursprünglichen Handy-Besitzers nachempfunden war. Damit konnte er sich mühelos Zugang zu einem Smartphone und einem Smart-TV verschaffen und dort verschiedene Steuerbefehle geben. „Diese Attacken haben funktioniert, weil diese Technologien nichts unternehmen, um die Authentizität der Stimme zu überprüfen. Es ist, als ob man seinen Computer ohne Passwortschutz lässt: Jeder kann auf ihn zugreifen und tun, was immer er will“, kritisiert Ben-Itzhak. (pte)
Be the first to comment